Эксперты говорят, что сообщество кибербезопасности обмануто ложными заявлениями о взломе со стороны групп, занимающихся вымогательством, а дезинформация о программах-вымогателях представляет собой угрозу, которая, по их прогнозам, будет только расти в ближайшие месяцы.
Сообщество кибербезопасности должно знать, что киберпреступники не являются надежными рассказчиками, но в последнее время все, что нужно группам, занимающимся вымогательством, — это пост в Даркнете, в котором утверждается, что они взломали организацию, плюс пара ключевых ретвитов, и вуаля… полноценный кибер-сообщество. расследование началось; независимо от того, произошло ли какое-либо нарушение на самом деле или нет.
По словам эксперта по вымогателям и исследователя угроз Елисея Богуславского из RedSense, два конкретных инцидента, произошедших в последние дни января, подчеркивают эту растущую тенденцию среди групп, занимающихся вымогательством: предполагаемые атаки на Technica и Europcar.
«Другая сторона явно сопротивляется: как ФБР уничтожает целые группы, так и предприятия обеспечивают должную защиту», — говорит он. «Операторам программ-вымогателей теперь предстоит принять настоящий бой, но их коллективы никогда не были для этого предназначены, поскольку по своей сути это мелкие преступники без воображения и изобретательности, нацеленные на сети, которые остались незащищенными. Ложь и шумиха — единственное, что у них осталось».
Нет достоверных доказательств взлома Technica
30 января заголовки газет кричали об угрозе программ-вымогателей. АЛЬФВ (он же БлэкКэт) что ему удалось украсть секретную информацию у Technica Corp., ИТ-специалистов, которые обслуживают различные аспекты правительства США, включая ВМС и ВВС. В качестве примера очень конфиденциальных данных, с которыми работает компания, Technica в настоящее время ищет в LinkedIn должность администратора открытых систем на базе ВВС Лэнгли. Technica также предоставляет ИТ-поддержку Федеральному бюро расследований.
Если бы Technica действительно была взломана ALPHV, группа могла бы владеть совершенно секретными материалами и представлять серьезную угрозу национальной безопасности США.
Учитывая количество допусков, предположительно необходимых для работы в оборонном подрядчике Technica, неудивительно, что организация не прокомментировала публично заявления ALPHV. Например, несколько запросов на комментарии от Dark Reading остались без ответа. Но в пустоте сообщений сообщение ALPHV в даркнете (содержащее угрозу раскрытия секретов правительства США) проникло в цикл новостей и сплетен с несколькими чириканье и заголовки, спекулирующие на потенциальных последствиях такого нарушение техники.
Но, по словам Богуславского, который внимательно следит за группой, нет никаких достоверных доказательств того, что Technica когда-либо была скомпрометирована, за исключением нескольких снимков экрана, которыми поделилась ALPHV.
Тем не менее, группе удалось одержать крупную победу среди конкурирующих киберпреступных кругов, занимающихся программами-вымогателями, а также немного отомстить ФБР.
В декабре ФБР захватило инфраструктуру ALPHV и уничтожили сайты утечки программы-вымогателя, затруднив весь бизнес. Если группа, занимающаяся программами-вымогателями, будет рассматриваться как обменивающаяся ударами с правоохранительными органами, скомпрометировав собственного поставщика ИТ-услуг ФРС, это повысит их репутацию среди представителей киберпреступности, а также среди потенциальных партнеров.
Europcar также не был взломан, несмотря на заявления
Компания по прокату автомобилей Europcar также стала жертвой ложных заявлений об утечке данных анонимного лица, предложившего продать данные более чем 48.6 миллионов человек на хакерском форуме в последние дни января.
Europcar категорически отрицает факт взлома с помощью программы-вымогателя и отметил, что образцы данных, опубликованные на форуме Dark Web, явно были фальшивыми.
«После получения уведомления от службы разведки об угрозах о том, что аккаунт якобы продает данные Europcar в темной сети, и тщательной проверки данных, содержащихся в образце, компания уверена, что эта реклама является ложной», — говорится в заявлении компании.
Благодаря новым инструментам, использующим искусственный интеллект и машинное обучение, фальсифицировать предположительно украденные данные стало проще, чем когда-либо, оставляя на усмотрение людей проверку фактов этих заявлений групп-вымогателей и предотвращение их распространения.
Число программ-вымогателей в упадке, группы гонятся за влиянием
По словам Богуславского, подобные ложные заявления всегда были частью экосистемы программ-вымогателей, но есть несколько факторов, которые делают дезинформацию еще более привлекательной для этих групп в наши дни.
Как уже упоминалось, во-первых, это общий успех средств защиты кибербезопасности в борьбе с киберпреступностью, объясняет Богуславский. Другой вариант — погоня за влиянием среди киберпреступников. Богуславский говорит, что эти операторы программ-вымогателей пытаются поймать волну славы, подобную тот из 2019 это вывело из безвестности то, что он называет «питателями киберпреступности».
«И теперь они вынуждены снова вернуться в свое изгойское состояние», — добавляет он. «Поскольку их деятельность находится в упадке, они не могут поддерживать свое эго, и их надежда на то, что деньги, которые они зарабатывают, повысят их социальный статус, улетучивается».
Специалисты по кибербезопасности распространяют фейковые новости о программах-вымогателях
Как и большинство кампаний по дезинформации, ложные заявления о программах-вымогателях основаны на том, что другие распространяют их и воспринимают всерьез. Богуславский призывает киберсообщество, говорящее на английском языке, прекратить распространять эти сообщения; даже простой перевод лжи на английский делает ее более правдоподобной, предупреждает он.
«Это классическая тактика постправды: утверждать что-то ложное и наслаждаться шумихой», — объяснил он. «Даже если профессионалы докажут ложность утверждения, никто этого не увидит».
Исследователи из Драгоса отметили в своем недавнем исследовании отчет о вымогательстве что эти группы все больше совершенствуют свои методы работы со СМИ и связями с общественностью, находят интервью у журналистов и рассылают пресс-релизы, а также сотрудничают, чтобы делиться бизнес-советами.
Таким образом, командам по корпоративной кибербезопасности необходимо распознавать новую стратегию передачи дезинформации о программах-вымогателях и реагировать на нее с учетом.
«К счастью для них (групп, занимающихся вымогательством), англоязычное сообщество кибербезопасности старается помочь им в этом», — сказал Богуславский.
- SEO-контент и PR-распределение. Получите усиление сегодня.
- PlatoData.Network Вертикальный генеративный ИИ. Расширьте возможности себя. Доступ здесь.
- ПлатонАйСтрим. Интеллект Web3. Расширение знаний. Доступ здесь.
- ПлатонЭСГ. Углерод, чистые технологии, Энергия, Окружающая среда, Солнечная, Управление отходами. Доступ здесь.
- ПлатонЗдоровье. Биотехнологии и клинические исследования. Доступ здесь.
- Источник: https://www.darkreading.com/threat-intelligence/ransomware-groups-gain-clout-fake-attack-claims
