Af Eskil Sørensen, 15/06/22
BlackCat/ALPHV ransomware-gruppen har taget en ny taktik i anvendelse i forsøget på at afpresse sine ofre. Det er sket ved at oprette en dedikeret hjemmeside, der giver kunderne og medarbejdere hos deres ofre mulighed for at tjekke, om deres data blev stjålet i et angreb. Det skriver Bleeping Computer.
Konkret er der i dette tilfælde tale om data, som BlackCat/ALPHV hævder at have stjålet fra et hotel i Oregon. Disse data – efter det oplyste 112 GB data, inklusive personlige medarbejderoplysninger for ca. 1.500 ansatte – er tilsyneladende ved at blive frigivet på en offentlig tilgængelig hjemmeside, som er oprettet til formålet. Herfra kan medarbejdere og kunder så tjekke, om deres data er blevet stjålet under angrebet. Er det tilfældet kan medarbejderne og kunder lægge pres på hotellet og dermed gå gidseltagernes ærinde.
Der er ifølge Bleeping Computer sågar oprettet ’datapakker’ for hver medarbejder, der indeholder filer relateret til denne persons ansættelse på hotellet. Og når webstedet nu ligger på det åbne internet, kan det indekseres af søgemaskiner, så den eksponerede information kan blive føjet til søgeresultaterne.
Innovativ gruppe
Bleeping Computers journalist Laurence Abrams spekulerer i, om det kommer til at virke, eller om det er spild af tid. Altså om metoden repræsenterer en så innovativ løsning, at der kan tjenes penge på den. Sker det, vil andre ramsomwareaktører givetvis også tage den op. I al fald siger en sikkerhedsanalytiker fra Emsisoft, Brett Callow, som opdagede denne nye afpresningsstrategi, at det endnu er for tidligt at sige, da det er en tidskrævende at sætte en hjemmeside op med individuelle medarbejderdatapakker.
AlphV menes at være en rebrand af DarkSide/BlackMatter-gruppen, der er ansvarlig for angrebet på Colonial Pipeline. Gruppen er ifølge Bleeping Computer altid blevet betragtet som en af de bedste inden for ransomware, men er dog også kendt for ’at rode og have skøre ideer’, der får dem i problemer.