Sophos X-Ops, la fuerza de tarea conjunta de investigación y respuesta a amenazas de Sophos acaba de hacer público un análisis sobre la relación simbiótica, pero a menudo incómoda, entre las bandas de ransomware y los medios de comunicación, y cómo los cibercriminales buscan cada vez más tomar el control de la narrativa.
Lejos de evitar a la prensa, como muchos actores amenazantes hacían en el pasado, algunas bandas de ransomware han sido rápidas para aprovechar las oportunidades. Ahora, escriben preguntas frecuentes (FAQs) para periodistas que visitan sus sitios de filtraciones, animan a los reporteros a ponerse en contacto, dan entrevistas detalladas y reclutan redactores. La participación de los medios proporciona a las bandas de ransomware ventajas tácticas y estratégicas: les permite aplicar presión a sus víctimas, al tiempo que les permite dar forma a la narrativa, inflar su propia notoriedad y ego, y seguir ‘mitologizándose’.
Por supuesto, no siempre es una relación armoniosa. Recientemente, Sophos X-Ops ha visto varios ejemplos de actores de ransomware disputando la cobertura de los periodistas y tratando de corregir la información, a veces lanzando insultos a periodistas específicos como parte del trato. Mientras esto tiene implicaciones para el panorama de amenazas en general, también tiene ramificaciones para los objetivos individuales. Además de enfrentarse a impactos comerciales, exigencias de rescate y consecuencias de reputación, las organizaciones ahora se ven obligadas a presenciar cómo las bandas de ransomware pelean con los medios en el dominio público con cada incidente generando más cobertura y añadiendo más presión.
El equipo de expertos de Sophos, que utiliza una combinación de inteligencia de amenazas, investigación forense y respuesta a incidentes para proteger de amenazas cibernéticas, llevó a cabo una investigación de varios sitios de filtraciones de ransomware y foros criminales clandestinos para explorar cómo las bandas de ransomware buscan aprovechar los medios y controlar la narrativa, hackeando no solo sistemas y redes, sino también la publicidad que los acompaña y estos fueron los hallazgos:
- Las bandas de ransomware son conscientes de que sus actividades son consideradas dignas de noticias y aprovecharán la atención mediática tanto para fortalecer su ‘credibilidad’ como para ejercer mayor presión sobre las víctimas.
- Los actores amenazantes invitan y facilitan la comunicación con periodistas a través de preguntas frecuentes (FAQs), canales de relaciones públicas privados dedicados y avisos en sus sitios de filtraciones.
- Algunas bandas de ransomware han dado entrevistas a periodistas, en las que ofrecen una perspectiva en gran medida positiva de sus actividades, potencialmente como una herramienta de reclutamiento.
- Sin embargo, otros han sido más hostiles ante lo que consideran una cobertura inexacta y han insultado tanto a publicaciones como a periodistas individuales.
- Algunos actores amenazantes están profesionalizando cada vez más su enfoque para la prensa y la gestión de la reputación: publican llamados ‘comunicados de prensa’, producen gráficos y marca elegantes y buscan reclutar escritores y oradores de inglés en foros criminales.
Al dar a conocer esta información, los expertos en cibercrimen buscan sugerir acciones que la comunidad y los medios de comunicación pueden hacer ahora para contrarrestar esos esfuerzos y negar a las bandas de ransomware el oxígeno de publicidad que están buscando. ¿De qué forma? Así:
- Abstenerse de interactuar con actores amenazantes a menos que sea de interés público o proporcione información e inteligencia accionables para los defensores.
- Proporcionar información solo para ayudar a los defensores y evitar la glorificación de los actores amenazantes.
- Apoyar a periodistas e investigadores atacados por los agresores.
- Evitar nombrar o acreditar a los atacantes a menos que sea necesario para informar sobre la amenaza o de interés público.
Las bandas de ransomware son muy conscientes de que la prensa considera sus actividades dignas de noticias y a veces enlazan con la cobertura existente sobre ellos en sus sitios de filtraciones. Esto refuerza sus ‘credenciales’ como una amenaza genuina para el beneficio de los visitantes (incluidos periodistas y nuevas víctimas) y, en algunos casos, probablemente sea también un subidón de ego.
Lo que hay detrás de las entrevistas
En la mayoría de las entrevistas que los actores de amenazas dan a los medios parecen disfrutar la oportunidad de brindar percepciones sobre la ‘escena’ del ransomware, discutir las fortunas ilícitas que han acumulado y ofrecer ‘liderazgo de pensamiento’ sobre el panorama de amenazas y la industria de la seguridad.
Por lo tanto, además de notoriedad, egoísmo, credibilidad, y aumentar indirectamente la presión sobre las víctimas; otra posible razón de los cibercriminales para participar en los medios es el reclutamiento, al retratar la actividad de ransomware como un negocio glamoroso y lucrativo.
Comunicados de prensa y declaraciones
Un puñado de grupos de ransomware emiten lo que ellos llaman comunicados de prensa, y el hecho de que utilicen este término ya es revelador. El grupo Karakurt, por ejemplo, mantiene una página separada para sus comunicados de prensa. De los tres publicados hasta ahora, uno es un anuncio público de que el grupo está reclutando nuevos miembros, y los otros se refieren a ataques específicos. En ambos casos, según Karakurt, las negociaciones se rompieron, y los llamados comunicados de prensa son, de hecho, ataques velados contra ambas organizaciones en un intento de presionarlas para que paguen y/o causar daño a su reputación.
El ransomware como marca
La marca es de suma importancia para las pandillas de ransomware que buscan cobertura mediática. Nombres llamativos y gráficos atractivos ayudan a captar la atención de periodistas y lectores, especialmente en lo que respecta a los sitios de filtración de datos, ya que son las presencias públicas de estos actores amenazantes y son visitados con frecuencia por periodistas, investigadores y víctimas.
Guste o no, algunos actores de ransomware están camino a convertirse en figuras públicas. El equipo de expertos de Sophos llega a esta conclusión porque dedican cada vez más tiempo a ‘gestionar los medios de comunicación’. Están al tanto de la cobertura sobre ellos mismos y corrigen públicamente inexactitudes y omisiones. Fomentan las preguntas y ofrecen entrevistas. Son conscientes de que cultivar relaciones con los medios es útil para alcanzar sus propios objetivos y perfeccionar su imagen pública.
Aunque estos esfuerzos aún están en una fase incipiente, hay indicios de que están evolucionando. Iniciativas como canales de Telegram dedicados a relaciones públicas, preguntas frecuentes para periodistas e intentos de reclutar periodistas y redactores podrían convertirse en algo más común en el futuro y todo con el fin de inflar sus egos, reforzar sus esfuerzos de reclutamiento y aumentar la presión sobre las víctimas.
En el futuro, no es inverosímil que los grupos de ransomware puedan contar con equipos de relaciones públicas dedicados a tiempo completo.
