Cibercriminales estarían usando medios y estrategias de relaciones públicas para presionar a sus víctimas
Escrito por Jose de Jesus Prieto on 15/12/2023
Históricamente, las bandas de ransomware evitaban a la prensa, pero recientemente han cambiado
su actitud.
Ahora, algunos interactúan activamente con periodistas, incluso dando entrevistas y publicando
comunicados de prensa.
Lo hacen por varios motivos: aumentar la presión sobre las víctimas, mejorar su imagen pública,
reclutar nuevos miembros y dar forma a la narrativa de los ataques.
Bogotá 13 de diciembre, 2023. Sophos X-Ops, la fuerza de tarea conjunta de investigación y respuesta a
amenazas de Sophos, líder mundial en innovación y prestación de ciberseguridad como servicio, acaba
de hacer público un análisis sobre la relación simbiótica, pero a menudo incómoda, entre las bandas de
ransomware y los medios de comunicación, y cómo los cibercriminales buscan cada vez más tomar el
control de la narrativa.
Lejos de evitar a la prensa, como muchos actores amenazantes hacían en el pasado, algunas bandas de
ransomware han sido rápidas para aprovechar las oportunidades. Ahora, escriben preguntas frecuentes
(FAQs) para periodistas que visitan sus sitios de filtraciones, animan a los reporteros a ponerse en
contacto, dan entrevistas detalladas y reclutan redactores. La participación de los medios proporciona
a las bandas de ransomware ventajas tácticas y estratégicas: les permite aplicar presión a sus víctimas,
al tiempo que les permite dar forma a la narrativa, inflar su propia notoriedad y ego, y seguir
'mitologizándose'.
Por supuesto, no siempre es una relación armoniosa. Recientemente, Sophos X-Ops ha visto varios
ejemplos de actores de ransomware disputando la cobertura de los periodistas y tratando de corregir la
información, a veces lanzando insultos a periodistas específicos como parte del trato. Mientras esto
tiene implicaciones para el panorama de amenazas en general, también tiene ramificaciones para los
objetivos individuales. Además de enfrentarse a impactos comerciales, exigencias de rescate y
consecuencias de reputación, las organizaciones ahora se ven obligadas a presenciar cómo las bandas de
ransomware pelean con los medios en el dominio público con cada incidente generando más cobertura
y añadiendo más presión.
El equipo de expertos de Sophos, que utiliza una combinación de inteligencia de amenazas,
investigación forense y respuesta a incidentes para proteger de amenazas cibernéticas, llevó a cabo una
investigación de varios sitios de filtraciones de ransomware y foros criminales clandestinos para explorar
cómo las bandas de ransomware buscan aprovechar los medios y controlar la narrativa, hackeando no
solo sistemas y redes, sino también la publicidad que los acompaña y estos fueron los hallazgos:
Las bandas de ransomware son conscientes de que sus actividades son consideradas dignas de
noticias y aprovecharán la atención mediática tanto para fortalecer su 'credibilidad' como para
ejercer mayor presión sobre las víctimas.
Los actores amenazantes invitan y facilitan la comunicación con periodistas a través de
preguntas frecuentes (FAQs), canales de relaciones públicas privados dedicados y avisos en sus
sitios de filtraciones.
Algunas bandas de ransomware han dado entrevistas a periodistas, en las que ofrecen una
perspectiva en gran medida positiva de sus actividades, potencialmente como una herramienta
de reclutamiento.
Sin embargo, otros han sido más hostiles ante lo que consideran una cobertura inexacta y han
insultado tanto a publicaciones como a periodistas individuales.
Algunos actores amenazantes están profesionalizando cada vez más su enfoque para la prensa
y la gestión de la reputación: publican llamados 'comunicados de prensa', producen gráficos y
marca elegantes y buscan reclutar escritores y oradores de inglés en foros criminales.
Al dar a conocer esta información, los expertos en cibercrimen buscan sugerir acciones que la
comunidad y los medios de comunicación pueden hacer ahora para contrarrestar esos esfuerzos y
negar a las bandas de ransomware el oxígeno de publicidad que están buscando. ¿De qué forma? Así:
Abstenerse de interactuar con actores amenazantes a menos que sea de interés público o
proporcione información e inteligencia accionables para los defensores.
Proporcionar información solo para ayudar a los defensores y evitar la glorificación de los
actores amenazantes.
Apoyar a periodistas e investigadores atacados por los agresores.
Evitar nombrar o acreditar a los atacantes a menos que sea necesario para informar sobre la
amenaza o de interés público.
Las bandas de ransomware son muy conscientes de que la prensa considera sus actividades dignas de
noticias y a veces enlazan con la cobertura existente sobre ellos en sus sitios de filtraciones. Esto
refuerza sus 'credenciales' como una amenaza genuina para el beneficio de los visitantes (incluidos
periodistas y nuevas víctimas) y, en algunos casos, probablemente sea también un subidón de ego.
Lo que hay detrás de las entrevistas
En la mayoría de las entrevistas que los actores de amenazas dan a los medios parecen disfrutar la
oportunidad de brindar percepciones sobre la ‘escena’ del ransomware, discutir las fortunas ilícitas que
han acumulado y ofrecer ‘liderazgo de pensamiento’ sobre el panorama de amenazas y la industria de la
seguridad.
Por lo tanto, además de notoriedad, egoísmo, credibilidad, y aumentar indirectamente la presión sobre
las víctimas; otra posible razón de los cibercriminales para participar en los medios es el reclutamiento,
al retratar la actividad de ransomware como un negocio glamoroso y lucrativo.
Comunicados de prensa y declaraciones
Un puñado de grupos de ransomware emiten lo que ellos llaman comunicados de prensa, y el hecho de
que utilicen este término ya es revelador. El grupo Karakurt, por ejemplo, mantiene una página
separada para sus comunicados de prensa. De los tres publicados hasta ahora, uno es un anuncio
público de que el grupo está reclutando nuevos miembros, y los otros se refieren a ataques específicos.
En ambos casos, según Karakurt, las negociaciones se rompieron, y los llamados comunicados de prensa
son, de hecho, ataques velados contra ambas organizaciones en un intento de presionarlas para que
paguen y/o causar daño a su reputación.
El ransomware como marca
La marca es de suma importancia para las pandillas de ransomware que buscan cobertura mediática.
Nombres llamativos y gráficos atractivos ayudan a captar la atención de periodistas y lectores,
especialmente en lo que respecta a los sitios de filtración de datos, ya que son las presencias públicas de
estos actores amenazantes y son visitados con frecuencia por periodistas, investigadores y víctimas.
Guste o no, algunos actores de ransomware están camino a convertirse en figuras públicas. El equipo de
expertos de Sophos llega a esta conclusión porque dedican cada vez más tiempo a 'gestionar los medios
de comunicación'. Están al tanto de la cobertura sobre ellos mismos y corrigen públicamente
inexactitudes y omisiones. Fomentan las preguntas y ofrecen entrevistas. Son conscientes de que
cultivar relaciones con los medios es útil para alcanzar sus propios objetivos y perfeccionar su imagen
pública.
Aunque estos esfuerzos aún están en una fase incipiente, hay indicios de que están evolucionando.
Iniciativas como canales de Telegram dedicados a relaciones públicas, preguntas frecuentes para
periodistas e intentos de reclutar periodistas y redactores podrían convertirse en algo más común en el
futuro y todo con el fin de inflar sus egos, reforzar sus esfuerzos de reclutamiento y aumentar la presión
sobre las víctimas.
En el futuro, no es inverosímil que los grupos de ransomware puedan contar con equipos de relaciones
públicas dedicados a tiempo completo.
Para obtener más información y conocer el análisis completo visite: Press and pressure: Ransomware
gangs and the media.
Garrapatudo Radio