Niezadowolone z innowacyjnych taktyk wywierania presji na ofiarach ugrupowanie DarkSide, które wykorzystuje ransomware, utworzyło swoją stronę internetową — DarkSide Leaks. Jej wygląd jest na tyle profesjonalny, że ktoś mógłby pomyśleć, że należy ona do dostawcy usług online. Ponadto używa tradycyjnych technik stosowanych w marketingu. Poniżej znajduje się pięć przykładów tego, że jesteśmy świadkami nietypowej transformacji — z działającej w podziemiu grupy przestępczej w przedsiębiorstwo.
1. Kontakty z mediami
Legalnie działające firmy zwykle mają jakieś centrum prasowe lub strefę dla mediów. Cyberprzestępcy z ugrupowania DarkSide poszli w ich ślady: na swojej stronie publikują informacje o planach ujawnienia zdobytych informacji i pozwalają dziennikarzom zadawać pytania.
A przynajmniej tak twierdzą. W rzeczywistości celem grupy DarkSide jest wywołanie w internecie jak najwięcej szumu na swój temat. Większe zainteresowanie ze strony mediów może sprawić, że ludzie będą bardziej bać się ataku z jej strony, co potencjalnie oznacza większą szansę na to, że następna ofiara zdecyduje się zapłacić bez stawiania oporu.
2. Współpraca z firmami deszyfrującymi
Szantażyści z DarkSide szukają partnerów wśród firm, które świadczą legalne usługi odszyfrowywania danych. Rzekomym powodem takiego działania jest fakt, że niektóre ofiary nie mają własnych działów odpowiedzialnych za bezpieczeństwo informacji i muszą polegać na zewnętrznych ekspertach, aby odszyfrować swoje dane. DarkSide oferuje takim ekspertom wsparcie techniczne i rabaty związane z nakładem wykonanej pracy.
Podstęp jest tu oczywisty. Oszuści nie szukają ofiar, które nie mogą odszyfrować danych; szukają dużych pieniędzy. Przedsiębiorstwa państwowe nie mogą prowadzić negocjacji z oszustami, ale mogą swobodnie współpracować z firmami świadczącymi usługi deszyfrowania, które w tym przypadku działają jako pośrednik. Udają one, że przywracają dane, a w rzeczywistości zwyczajnie płacą oszustom. Chociaż takie działanie może być legalne, mocno kojarzy się ze zmową przestępczą.
3. Darowizny na cele charytatywne
Szantażyści chwalą się stronie DarkSide Leaks, że przekazują darowizny na cele charytatywne. Najwyraźniej ich celem jest przekonanie osób, które nie są chętne do zapłacenia okupu, że część ich pieniędzy pójdzie na szczytny cel.
Tutaj mamy kolejny haczyk, ponieważ niektóre kraje, w tym Stany Zjednoczone, zabraniają organizacjom charytatywnym przyjmowania pieniędzy zdobytych w sposób nielegalny. Innymi słowy, takie płatności nigdy nie dotrą do potrzebujących.
4. Analityka biznesowa
Początkowo nikt oprócz przestępców i wybranych ekspertów z branży bezpieczeństwa informacji nie widział skradzionych informacji publikowanych przez operatorów ransomware, które zazwyczaj pojawiały się na forach hakerskich. Teraz część cyberprzestępców oferuje dane i analizy rynkowe, a przed ujawnieniem skradzionych informacji kontaktują się oni z osobami kontaktowymi z firmy, jej klientami, partnerami i konkurencją. Czasami wysyłają łącza do skradzionych plików bezpośrednio do zainteresowanych stron. Tu także głównym celem jest wyrządzenie maksymalnej szkody ofierze, tak aby zachęcić ją do zapłaty i przestraszyć przyszłe ofiary.
5. Deklaracja przestrzegania zasad moralnych
Na stronie DarkSide Leaks znajduje się deklaracja dotycząca przestrzegania zasad etycznych — podobne można znaleźć na stronach internetowych prawdziwych korporacji. Cyberprzestępcy twierdzą na przykład, że nigdy nie atakują firm medycznych, salonów pogrzebowych, instytucji edukacyjnych, organizacji non-profit i rządowych. W tym przypadku nie jesteśmy pewni, jaki może być cel tej deklaracji. Być może ofiara ma myśleć, że skoro osoby atakujące mają swoje zasady, można im zapłacić.
Jednak temu założeniu przeczy niedawny incydent, w którym zajęte zostały dane uczniów. Chociaż ofiara nie była instytucją edukacyjną, dane, których opublikowaniem grozili oszuści, należały do szkoły.
Wnioski
Cyberprzestępcy najwyraźniej mają pieniądze na inwestowanie w analizę rynku, szukanie współpracy zawodowej i udzielanie się w obszarze charytatywnym. Sposobem na ich pokonanie jest odcięcie ich od źródeł dochodu. Oznacza to, że warto trzymać się poniższych zasad:
- Nie płać okupu. Jest to śmiałe posunięcie, które może mieć swoje konsekwencje, ale właściwym wyborem jest tu powstrzymanie się od zapłaty. Zobacz ostatni post Jewgienija Kasperskiego wyjaśniający, dlaczego nigdy nie należy dać się namówić.
- Na wszystkich urządzeniach łączących się z internetem zainstaluj niezawodne rozwiązanie zabezpieczające, aby zablokować wszelkie próby instalacji na nich oprogramowania ransomware.