Ransomware-gruppe bruger Facebook-annoncer

Af Eskil Sørensen, 11/11/20

Hacket Facebook-konto bruges som afsender af annoncerne.

Det måtte jo komme. Den dag, hvor ransomwaregrupper begyndte at bruge Facebookannoncer til at presse deres ofre til at betale løsesum. Det er så sket mandag den 9. november, hvor en annoncekampagne gør opmærksom på, at der er stjålet data fra italienske Campari Group, og at data bliver offentliggjort, hvis italienerne ikke er villige til at betale løsesum.

Det skriver sikkerhedsjounalisten Brian Krebs på sin blog, Krebs on Security.

Nye højder

Med dette tager ransomwaregrupper sine kommunikationsaktiviteter til nye højder, efter at de i foråret gik mere aggressivt til værks ved at begynde at true med at sælge ud af stjålne data eller simpelthen offentliggøre data fra offentligt tilgængelige hjemmesider.  Det er tilsyneladende ransomware-gruppen Ragnar Locker, der med denne brug af Facebook er de første til at benytte sig af mainstream-sociale medier til dels at gøre opmærksom på sig selv, dels at presse ofrene til betaling. Ragnar Locker-gruppen hævder at have fået adgang til to terabyte data.

Hemmelig opskrift

Campari er en aperitif med bittersød smag og en smuk, rød farve. Den har ifølge Wikipedia været produceret siden 1860, og den nøjagtige opskrift skulle efter sigende kun kendes af en håndfuld betroede medarbejdere. Om opskriften er blandt de stjålne data fremgår ikke, men da ransomwareangrebet blev kendt, udsendte Campari en erklæring, hvoraf det fremgår, at de ikke helt kan ”..udelukke, at der er taget nogle personlige og forretningsoplysninger."

Hacket Facebook-konto

Annonceringen på Facebook er ifølge Brian Krebs betalt af en DJ, Chris Hodson, fra Chicago, som har fået sin Facebook-konto hacket, tilsyneladende som følge af, at han ikke havde slået totrinsbekræftelse til sin Facebook-konto. Hodson oplyser, at Facebook har faktureret ham for i alt 194 dollars for annonceringen.

Det er ikke klart, om det var en isoleret hændelse, eller om svindlerne også kørte annoncer ved hjælp af andre hackede Facebook-konti. Men som Brian Krebs skriver: "Det ser ud til at være sandsynligt, at vi fortsætter med at se mere af dette og andre almindelige reklameindsatser fra ransomwaregrupper fremadrettet".

Denne offensive tilgang understøttes yderligere af en udtalelse fra teknologichefen hos computersikkerhedsfirmaet Emsisoft, der i artiklen siger, at nogle ransomwaregrupper er blevet særlig aggressive ift. at få løsessummen udbetalt, bl.a. som følge af opgaven med at ringe til ofrene og presse til dem til betaling er outsourcet til indiske callcentre.

Links:

https://krebsonsecurity.com/2020/11/ransomware-group-turns-to-facebook-ads/