De ranomware-bende DarkSide was niet tevreden met de innovatieve tactieken om slachtoffers onder druk te zetten en heeft daarom met DarkSide Leaks een professioneel uitziende website opgezet die zomaar van een aanbieder van online diensten zou kunnen zijn, en ze maken hierbij gebruik van traditionele marketingtechnieken. Hieronder volgen de vijf meest illustratieve voorbeelden van de transformatie van een ondergrondse criminele bende tot een echte onderneming.
1. Mediacontacten
Legitieme bedrijven beschikken altijd over een soort perscentrum of een mediazone. De DarkSide-cybercriminelen hebben dat voorbeeld gevolgd en publiceren nieuws over aankomende lekken en stellen journalisten in staat om vragen te stellen in hun perscentrum.
Dat is in ieder geval wat ze zeggen. In werkelijkheid is het doel van DarkSide om zo veel mogelijk online buzz te genereren. Meer media-aandacht zou kunnen leiden tot een meer wijdverspreide angst voor DarkSide, wat mogelijk de kans vergroot dat het volgende slachtoffer eerder besluit te betalen in plaats van problemen te veroorzaken.
2. Partnerschappen met decryptie-bedrijven
De afpersers van DarkSide zijn op zoek naar partners onder bedrijven die legitieme gegevensdecryptiediensten aanbieden. De ogenschijnlijke reden hiervoor is dat sommige slachtoffers niet hun eigen infosec-afdelingen hebben en afhankelijk zijn van externe experts om hun gegevens te decoderen. DarkSide biedt dit soort experts technische support en kortingen op basis van de hoeveelheid werk die ze verrichten.
Deze list is eenvoudig te doorzien. De schurken zijn niet bezorgd om de slachtoffers die hun gegevens niet kunnen decoderen; ze zijn op zoek naar flinke sommen geld. Het kan voor staatsbedrijven verboden zijn om met afpersers te onderhandelen, maar ze mogen wel met bedrijven samenwerken die decryptiediensten aanbieden. In zo’n geval acteert zo’n decryptiebedrijf als intermediair, waarbij ze doen alsof ze de gegevens herstellen, maar in feite gewoon de schurken betalen en het wisselgeld zelf houden. Dat is misschien wel legaal, maar het riekt behoorlijk naar criminele samenzwering.
3. Donaties aan goede doelen
De afpersers hebben geld aan een goed doel gedoneerd en posten over deze donaties op DarkSide Leaks. Waarom die moeite doen? Blijkbaar is dit om degenen die geen losgeld willen betalen ervan te overtuigen dat een gedeelte van het geld naar een goed doel gaat.
Hier zien we nog een addertje onder het gras, want in sommige landen zoals bijvoorbeeld de VS is het voor liefdadigheidsinstellingen verboden om illegaal verkregen geld aan te nemen. In andere woorden: dit soort betalingen zal die goede doelen nooit bereiken.
4. Zakelijke analyses
Oorspronkelijk zag niemand behalve de criminelen en sommige infosec-experts de gestolen informatie die ransomware-operators publiceerden, vaak op hackerfora. Nu hebben sommige cybercriminelen gegevens- en marktanalyses toegevoegd en proberen ze een betere onderhandelingspositie te verkrijgen door op zoek te gaan naar bedrijfscontacten, klanten, partners en concurrenten voordat ze de gestolen informatie lekken. Op die manier kunnen ze links naar de gestolen bestanden rechtstreeks naar geïnteresseerde partijen versturen. Het belangrijkste doel hiervan is opnieuw om zo veel mogelijk schade bij het slachtoffer aan te richten om die aan te moedigen te betalen én om toekomstige slachtoffers te intimideren.
5. Verklaring van morele principes
DarkSide Leaks bevat een verklaring van ethische principes — net zoals echte ondernemingen die op hun websites publiceren. Hier doen de cybercriminelen allerlei beweringen, zoals dat ze bijvoorbeeld nooit zorginstellingen, begrafenisondernemingen, onderwijsinstellingen, non-profit- en overheidsorganisaties zouden aanvallen. In dit geval zijn we er niet helemaal zeker van wat het doel van zo’n verklaring zou kunnen zijn. Moet het slachtoffer nu denken: “Deze mensen zijn zo slecht nog niet, dus ik zal ze dan maar betalen”?
Een recent incident waarbij gegevens van schoolkinderen waren betrokken laat zien dat dit een leugen is. In feite was het doelwit geen onderwijsinstelling, maar het waren wel de schoolgegevens die de schurken dreigden te publiceren.
Wat te doen
Cybercriminelen hebben duidelijk de middelen om te investeren in marktanalyses, professionele samenwerkingen en liefdadigheid. De enige manier om ze te verslaan is door hun inkomstenbronnen af te snijden. Oftewel:
- Betaal geen losgeld. Dit is een gedurfde zet die consequenties kan hebben, maar niet betalen is de enige juiste optie. Lees de recente post van Eugene Kaspersky over waarom u nooit moet toegeven;
- Installeer een betrouwbare beveiligingsoplossing op al uw verbonden apparaten om ransomware-trucs te blokkeren voordat ze schade aan kunnen richten.