Af Eskil Sørensen, 20/10/21
Atter en gang har ransomwaregrupperinger udviklet sine afpresningsteknikker.
Det er mediet The Record, der i en længere artikel i starten af oktober refererer til en offentliggjort erklæring fra Conti-gruppen, der truer hackede virksomheder med at ville lække stjålne filer, hvis detaljer eller skærmbilleder af forhandlinger om løsepenge bliver lækket til journalister.
Erklæringen fra Conti kommer angiveligt efter at flere medier har bragt aktuelle historier, hvor læserne har kunnet følge med i korrespondancen mellem offeret og gidseltageren. En korrespondance, der fx kan foregå via webbaserede chatfunktioner, hvor ofrene bliver vejledt til, hvordan man betaler i bitcoins og hvordan de krypterede filer dekrypteres. Imidlertid har sikkerhedsresearchere og journalister også kunnet få adgang til korrespondancen via lækkede skærmbilleder og derfor også skrevet historier om dem.
Angrebsmetoder afdækket
Dette har gjort det muligt for journalister at bringe detaljer om selve angrebet, hvordan offeret blev kompromitteret, hvilken slags data angriberne stjal fra offerets netværk, trusler mod et offer og dets ansatte, eller hvordan virksomheder forsøgte at skjule deres betalinger. Det er altså denne praksis, som Conti er blevet vred over og som følge deraf har bekendtgjort, at den ikke vil tolerere den slags mere.
Et læk fra forhandlinger med den japanske elektronikproducent JVCKenwood anføres som årsagen til, at Conti har taget dette skridt. I den konkrete sag har Conti afbrudt forhandlingerne og offentliggjort data.
Kontrol af mediedækningen
The Record skriver i sin analyse af denne nye tendens, at den virkelige årsag til det nye skridt er, at Conti-banden forsøger at kontrollere mediedækningen omkring sine angreb, og at den forsøger at lægge skylden for mislykkede forhandlinger og de efterfølgende datalækager over på sikkerhedsresearchere og journalister.
Conti tager dette skridt ifølge The Record for at holde sit navn ude af mediedækningen, når der lige nu er så meget opmærksomhed på det, efter at Joe Biden har kastet sig ind i kampen mod ransomware-angreb. Samtidig forsøger ransomwaregrupperne at kontrollere fortællingen gennem pressemeddelelser, som har været offentliggjort på deres blogs og i kriminelle fora. Her har forskellige ransomware-grupper for vane at annonceret nye regler for deres operationer.
Skræmmeteknik
Fx har grupper som LockBit, Darkside og BlackMatter lovet ikke at angribe kritisk infrastruktur i et forsøg på at lette det politiske pres mod deres aktiviteter, mens RagnarLocker-banden har truet med at lække data, hvis deres ofre kontaktede myndighederne.
Derudover har Grief og DoppelPaymer-gruppen truet med at slette deres ofres servere, hvis de brugte professionelle ransomware-forhandlere, velvidende at forhandlere ville advare offeret mod at betale løsesummen.
Alt dette er eksempler på, hvordan ransomware-bander forsøger at skræmme ofre og kontrollere deres offentlige image omkring deres angreb.
Men virkeligheden er, som The Record afslutningsvis skriver, at disse nye regler ikke betyder noget for ransomware-bander, der ikke har nogen problemer med at bryde dem, hvis de kan få et stort udbytte af deres handlinger.