La amenaza de exposición pública es una parte fundamental del libro de jugadas del ransomware. Cuantos más ojos estén en un incidente, mayor será la vergüenza, el daño a la reputación y el riesgo de litigio para la víctima, y ​​mayores serán las posibilidades de pago para la banda de ransomware responsable del ataque.

Pero no todos los ataques captan la atención del público. Con el ciclo de noticias ya saturado de ciberataques, es muy fácil que los incidentes corrientes se pierdan.

Ahora, en un esfuerzo por ampliar la cobertura, algunos grupos de ransomware están utilizando los canales de las redes sociales para llevar las noticias de sus conquistas a una audiencia más amplia y presionar más a las víctimas para que paguen el rescate.

Los sitios con fugas no son una buena publicidad

La doble extorsión se ha convertido en el modo de operación estándar entre las bandas de ransomware. La premisa es simple: después de exfiltrar con éxito los datos de una empresa objetivo, una banda de ransomware amenaza con publicar los datos robados a menos que la víctima pague el rescate. De esta manera, los actores de amenazas pueden extorsionar efectivamente a las víctimas dos veces: una vez, para el descifrado de sus datos codificados; y nuevamente, por la no divulgación de los datos robados.

Si una víctima se niega a pagar el rescate, los datos robados generalmente se publican en la propia plataforma de la banda de ransomware. Por lo general, esto toma la forma de un sitio Tor, accesible solo a través de la web oscura y visitado principalmente por investigadores de seguridad y otros ciberdelincuentes. Como medio para publicar silenciosamente repositorios de datos robados, es una buena solución funcional. Pero en términos de transmitir un mensaje a una amplia audiencia, lo que los atacantes de ransomware necesitan para elevar el perfil de un ataque y aumentar sus posibilidades de pago, estos sitios de filtraciones son más casillas clandestinas que canales de distribución de noticias de buena fe.

En un intento de llevar noticias de sus ataques a las masas, los actores de amenazas ahora están recurriendo a las principales plataformas de redes sociales.

Los bots de Twitter crean rumores falsos sobre el ataque de Grief a la NRA

En octubre de 2021, la Asociación Nacional del Rifle de América (NRA) fue atacada con una cepa de ransomware conocida como Grief, una de las muchas operaciones atribuidas al prolífico grupo ruso de ciberdelincuencia Evil Corp. Los actores de amenazas publicaron en el sitio de filtración de Grief 13 documentos que tenían presuntamente robado durante el ataque, incluidas las actas de una reunión de la junta de la NRA, solicitudes de subvenciones y más.

Hasta este punto, el ataque había seguido una secuencia de eventos bastante estándar, en lo que respecta a los incidentes de ransomware. Sin embargo, poco después de que Grief anunciara los detalles del ataque, comenzó a tener lugar una actividad muy inusual: en todo Twitter, cientos de cuentas comenzaron a compartir tweets sobre el ataque.

Estaba claro que el frenesí de las noticias no era orgánico. Todas las cuentas que comparten las noticias se crearon en agosto y septiembre de 2021. La mayoría no seguía a nadie ni tenía seguidores. La mayoría lucía la foto de perfil de Twitter predeterminada, mientras que las que tenían fotos parecían haber sido tomadas de sitios de citas rusos como Tralolo y Shuri-Muri. Todas las cuentas tenían la intención de promover contenido relacionado con los ataques perpetrados por Grief.

Esta no fue la próxima sensación viral aleatoria. Esta fue una operación de información orquestada destinada a amplificar la cobertura y elevar un ataque poco notable a un estado digno de titulares para presionar a la NRA para que pague. Es probable que Grief estuviera involucrado en la campaña de Twitter, aunque no está claro si Grief era propietario y operaba la red de trolls de Twitter o trabajaba con un tercero.

Ragnar Locker utiliza anuncios de Facebook para promover ataques

La campaña de Grief en Twitter no fue la primera vez que los actores de amenazas han utilizado las redes sociales para aumentar la conciencia pública sobre un ataque.

A principios de noviembre de 2020, el proveedor italiano de bebidas Campari Group experimentó una interrupción significativa cuando sus sistemas se infectaron con ransomware. Unos días después, la compañía reconoció el ataque en un comunicado que decía: "En esta etapa, no podemos excluir por completo que se hayan tomado algunos datos personales y comerciales".

El 9 de noviembre de 2020, comenzaron a aparecer anuncios en Facebook que evidentemente estaban diseñados para presionar públicamente al Grupo Campari para que pagara el rescate. El anuncio afirmaba que la declaración de Campari Group era "ridícula y parece una gran mentira ... podemos confirmar que se robaron datos confidenciales y estamos hablando de un gran volumen de datos".

El anuncio afirmaba que el prolífico grupo de delitos informáticos Rangar Locker había exfiltrado dos terabytes de información y le había dado a Campari Group hasta las 6 p.m. EST para negociar el pago a cambio de la no divulgación de los datos robados.

Como descubrió KrebsOnSecurity, los anuncios habían sido financiados por Hodson Event Entertainment, una cuenta propiedad de un DJ con sede en Chicago cuya cuenta de Facebook había sido pirateada. Los atacantes presupuestaron $ 500 para la campaña y llegaron a alrededor de 7.150 usuarios antes de que Facebook deshabilitara la campaña publicitaria.

Otros grupos utilizan Twitter y Tumblr como armas

No todos los grupos de ransomware se esfuerzan por utilizar bots de Twitter y anuncios pagados para promover un ataque. Muchos actores de amenazas, incluidos DoppelPaymer, 54bb47h y Marketo, están armando las redes sociales de una manera más sencilla, utilizando Twitter como canal de distribución para promover sus ataques entre una audiencia general. Un grupo conocido como RobinHood abrió recientemente una cuenta de Tumblr, donde aparentemente planea publicar los nombres de sus víctimas y capturas de pantalla de datos robados.

A veces, los grupos de ransomware también se comunican directamente con los miembros de la prensa a través de las redes sociales, con la esperanza de que un periodista capte la historia y llame más la atención sobre un incidente.

Quitar

Es fácil para las víctimas de ransomware estar letárgicas cuando una fuga de datos se limita a un sitio web desconocido de Tor que el ciudadano medio nunca verá. Es una historia diferente cuando esos mismos datos confidenciales robados se debaten públicamente y se comparten en las principales plataformas de redes sociales.

Publicar datos confidenciales robados va, por supuesto, en contra de los términos y condiciones de todas las plataformas de redes sociales. Pero las empresas de redes sociales no siempre son tan rápidas como deberían para lidiar con los informes de abuso, lo que permite a los actores de amenazas abusar de sus plataformas de manera más efectiva.

Es posible que veamos más actores de amenazas que se aventuran fuera de la web oscura y aprovechan los canales sociales a medida que continúan encontrando formas creativas de presionar a sus víctimas para que paguen.