Ransomware-Gruppen buhlen zunehmend um Medien-Aufmerksamkeit
Um sich von der Konkurrenz abzusetzen und die eigenen Leistungen gewürdigt zu wissen, suchen Ransomware-Gruppen zunehmend den direkten Kontakt zu Journalisten.
Wie das Cybersecurity-Experten-Team Sophos X-Ops berichtet, betreiben Kriminelle in jüngster Zeit immer häufiger Medienarbeit und suchen den Kontakt zu Journalisten. Dahinter steckt ihr professionelles Interesse, bekannter zu werden und so mehr Druck auf die von ihnen erpressten Opfer auszuüben. In den Blick geriet das Bestreben nach medialer Aufmerksamkeit durch einen Hack des MGM-Casinos in Las Vegas, nach dem sich die Ransomware-Gruppe Black Cat bei Reportern beschwerte, diese hätten den Hack fälschlicherweise einer anderen Gruppe zugeschrieben.
Die Sicherheitsforscher von Sophos fanden nun durch Beobachtungen im Darknet und verschiedener Ransomware-Leak-Sites heraus, dass das Buhlen nach medialer Aufmerksamkeit beileibe kein Einzelfall ist. So nutzen die Kriminellen verschiedene Strategien, um direkten Kontakt zu Medien zu erhalten und pflegen: Die Forscher fanden etwa spezielle Telegram-Kanäle und Kontaktformulare für die Presse, FAQs für Medien und Sonderangebote zur „Zusammenarbeit“ mit Journalisten. Sogar Stellenanzeigen für englischsprachige Autoren fanden sich in den kriminellen Foren, mutmaßlich um durch das Verfassen von Blogbeiträgen und Artikeln für die Mainstream-Presse die Bekanntheit der Gruppen und ihrer Angriffe zu steigern.
Die Zusammenarbeit mit der Presse biete gleich mehrere Vorteile, berichtet Christopher Budd, Director Threat Research bei Sophos. Sie "stärkt nicht nur ihr Ego, sondern erhöht auch ihren Bekanntheitsgrad und macht sie zu einem begehrenswerteren ‚Arbeitgeber‘ für Kriminelle. Zudem hat sich das Vorgehen als wirksame Methode erwiesen, um Opfer unter Druck zu setzen", sagt Budd.
Die Forscher mutmaßen, dass Ransomware-Gruppen künftig noch häufiger und direkter mit der Presse interagieren werden. Die Recherche zeigte auch, dass einige Gruppen wie Cl0P und Royal Pressemitteilungen dazu nutzten, ihre Aktivitäten in „Sicherheitsdienste“ umzubenennen. Das könnte auf eine Rekrutierungstaktik hindeuten oder auf den Versuch, das eigene öffentliche Image zu verbessern. Unabhängig davon zeige es die konzertierten Bemühungen dieser Bedrohungsgruppen, die öffentliche Wahrnehmung zu beeinflussen, so Budd.
Er warnt davor, dass Verteidiger diesem Wunsch nach Aufmerksamkeit nachgeben. "Wir müssen uns auf die Taktiken, Techniken und Verfahren (TTPs) der Angriffe konzentrieren, damit wir die Abwehrkräfte der Unternehmen stärken können, und nicht darauf, wer hinter dem Angriff steckt.“ Ein englischsprachiger Blogbeitrag von Sophos X-Op nennt weitere Informationen und Beispiele. (ur)