從歷史上看，威脅行為者并不熱衷于與記者接觸，當(dāng)然，他們可能會關(guān)注有關(guān)自己的新聞報道，但這種情況僅僅是少數(shù)，畢竟，保持低調(diào)對他們來說通常更加重要。

但這一點在勒索軟件團(tuán)伙身上似乎表現(xiàn)得有所不同。勒索軟件已經(jīng)改變了威脅格局的許多方面，最近的一個關(guān)鍵發(fā)展是其日益商品化和專業(yè)化，包括勒索軟件即服務(wù)（RaaS）、商標(biāo)和品牌宣傳、明確的人力資源和法律職責(zé)分工，甚至還有漏洞賞金計劃。而伴隨著這些的，除了天文數(shù)字般的犯罪收益和無數(shù)受害者的痛苦，還有媒體的大量關(guān)注，以及日益精通媒體策略的各種威脅行為者。

一些勒索軟件團(tuán)伙并沒有像過去許多威脅行為者那樣躲避媒體，而是迅速抓住了媒體提供給他們的機(jī)會。現(xiàn)在，勒索軟件團(tuán)伙會為訪問其泄密網(wǎng)站的記者編寫常見問題解答、鼓勵記者與之聯(lián)系、接受深度采訪，甚至還招募了專業(yè)寫手?？梢哉f，媒體參與為勒索軟件團(tuán)伙提供了戰(zhàn)術(shù)和戰(zhàn)略優(yōu)勢，使他們能夠向受害者施加壓力，同時也使他們能夠掌控敘事權(quán)，夸大自己的名聲并進(jìn)一步“神話”自身形象。

當(dāng)然，這種關(guān)系并非總是和諧的。最近，Sophos X-Ops研究人員已經(jīng)看到了幾個勒索軟件參與者對記者的報道提出了質(zhì)疑，并試圖糾正記錄，有時還會對特定的記者進(jìn)行侮辱。這種情況不僅會影響更廣泛的威脅形勢，還會影響個別目標(biāo)，因為除了處理業(yè)務(wù)影響、贖金要求和聲譽損失之外，受害者現(xiàn)在還要被迫看著勒索軟件團(tuán)伙在公共領(lǐng)域與媒體發(fā)生沖突，從而導(dǎo)致每起事件的曝光度激增，進(jìn)一步加劇贖金支付壓力。

Sophos X-Ops對多個勒索軟件泄露網(wǎng)站和地下犯罪論壇進(jìn)行了調(diào)查，以探索勒索軟件團(tuán)伙如何通過利用媒體和控制敘事，來攻擊系統(tǒng)和網(wǎng)絡(luò)并控制相關(guān)的媒體宣傳。

概述

• 勒索軟件團(tuán)伙意識到他們的攻擊活動是有新聞價值的，他們將利用媒體的關(guān)注來提高自身的“可信度”，并對受害者施加進(jìn)一步的壓力；
• 威脅行為者通過常見問題解答、專門的私人公關(guān)渠道和泄漏網(wǎng)站上的通知，邀請并促成與記者的溝通；
• 一些勒索軟件團(tuán)伙接受了記者的采訪，并以此作為宣傳自身形象的途徑，借機(jī)招攬人才；
• 然而，其他團(tuán)伙對記者的不準(zhǔn)確報道抱有敵意，并對出版物和個別記者進(jìn)行了侮辱；
• 一些威脅行為者正日益將其新聞和聲譽管理方法專業(yè)化：發(fā)布所謂的“新聞稿”，制作精美的logo和品牌，并試圖在刑事論壇上招募英語作家和演講者。

這篇文章旨在探討勒索軟件團(tuán)伙在該領(lǐng)域做出的不懈努力，并建議安全社區(qū)和媒體實施以下措施來應(yīng)對這種情況：

• 避免與威脅行為者接觸，除非它符合公共利益或為防御者提供可操作的信息和情報；
• 只提供有助于防御者的信息，避免美化威脅行為者；
• 為淪為攻擊目標(biāo)的記者和研究人員提供支持；
• 避免指名道姓或點名威脅行為者，除非這完全是事實，符合公眾利益。

利用媒體

勒索軟件團(tuán)伙非常清楚地知道他們的活動具有新聞價值，有時還會在其泄密網(wǎng)站上直接鏈接一些媒體對其活動的現(xiàn)有報道。此舉不僅有利于吸引訪客（包括記者和新受害者）以獲取更多“憑據(jù)”；在某些情況下，這可能也是一種“自我宣傳”的途徑。

【圖1：Vice Society感謝一位記者的一篇文章，該文章稱其是2022年勒索軟件和惡意軟件組織的“前五名”之一】

【圖2：Play勒索軟件組織在其泄露網(wǎng)站上鏈接了一篇Dark Reading文章】

但一些勒索軟件團(tuán)伙并不滿足于僅僅發(fā)布現(xiàn)有的新聞報道，他們也會積極邀請記者進(jìn)行溝通。

協(xié)作

例如，勒索之家（RansomHouse）組織在其泄密網(wǎng)站上專門針對記者發(fā)布了一條信息，在信息正式發(fā)布之前，它提出在一個“公關(guān)Telegram頻道”（PR Telegram channel）上分享信息。它并不是唯一這樣做的組織。據(jù)稱，LockBit勒索軟件組織也曾使用加密消息服務(wù)Tox與記者進(jìn)行通信（許多勒索軟件團(tuán)伙在其泄露網(wǎng)站上列出了他們的Tox ID）。

【圖3：來自RansomHouse的邀請】

【圖4：RansomHouse公關(guān)Telegram頻道】

8Base泄露網(wǎng)站上也有相同的信息。這也進(jìn)一步印證了其他研究人員的猜測：8Base和RansomHouse之間存在諸多相似之處，包括它們的服務(wù)條款和贖金通知。

【圖5：8Base給記者的信息】

Rhysida在泄露網(wǎng)站上發(fā)布的聯(lián)系方式涉及多個群體。有趣的是，記者出現(xiàn)在這個名單的首位，而不是“Recoveries”——大概是指受害者或代表受害者發(fā)聲的人。

【圖6：Rhysida的聯(lián)系表單】

在Snatch的泄密網(wǎng)站上，威脅行為者保留了一個“公告”，特別值得注意的是榜單上的第8條：“Snatch對與任何媒體合作持開放態(tài)度，以便讓數(shù)據(jù)泄露的情況分享給更多的人?！?/p>

【圖7：Snatch的“公告”】

在Vice Society的泄密網(wǎng)站上，威脅行為者寫道：“有很多記者在詢問有關(guān)我們自身和攻擊相關(guān)的問題?！边@條信息還包含一個針對記者的完整常見問題解答，包括要求記者提供他們的姓名和工作地點，以及該組織不會回答的問題的細(xì)節(jié)。值得注意的是，對于截稿日期緊迫的記者，威脅行為者還聲明會在24小時內(nèi)回復(fù)詢問，堪稱專業(yè)公關(guān)的最佳實踐。

【圖8：Vice Society針對記者的常見問題解答】

正如前面所提到的，這樣做的大部分原因可能是為了炫耀自己的能力，并提高罪犯的可信度和名聲（這反過來又會間接增加受害者的壓力）。但有些團(tuán)體的目標(biāo)更為明確，例如，Dunghill Leak警告受害者，如果他們不付錢，他們將采取如下幾項行動，其中包括向媒體發(fā)送數(shù)據(jù)。

【圖9：Dunghill Leak對受害者的警告，包括向媒體發(fā)送數(shù)據(jù)的威脅】

雖然這并非本文討論的重點，但最后一行同樣值得注意：Dunghill威脅要“邀請不同的律師事務(wù)所來處理一個集體案件”。勒索軟件集體訴訟并非聞所未聞，而且可能會變得越來越普遍。

類似地，研究人員觀察到一名用戶在一個知名犯罪論壇上發(fā)布了關(guān)于要泄露一家公司受害者數(shù)據(jù)的帖子。該用戶表示，談判已經(jīng)破裂，并提出將“整個談判交流”提供給“經(jīng)過驗證的媒體或研究人員”，并指出“對于那些希望參與訴訟的人……你可以使用下面的談判片段。”這是勒索軟件行為者改變策略的一種方式，他們利用多管齊下的武器（宣傳、訴訟、監(jiān)管義務(wù)）向受害者施加進(jìn)一步的壓力。例如，ALPHV/BlackCat最近向美國證券交易委員會（SEC）上報了一個受害組織，原因是該公司沒有披露違規(guī)行為——一些評論員認(rèn)為這種情況可能會變得越來越普遍。

【圖10：犯罪論壇上關(guān)于數(shù)據(jù)泄露的帖子】

其他勒索軟件團(tuán)伙非常清楚，他們可以通過引起媒體的興趣，對受害者施加額外的壓力。Sophos的托管檢測和響應(yīng)（MDR）團(tuán)隊最近觀察到包含這種威脅的贖金通知大多來自Inc（“機(jī)密數(shù)據(jù)……可以傳播給個人和媒體”)和Royal(“互聯(lián)網(wǎng)上的任何人，從暗網(wǎng)罪犯……記者……甚至你的員工都可以看到你的內(nèi)部文件”)。

當(dāng)然，并不是所有的贖金通知都提到了媒體，許多勒索軟件團(tuán)伙仍然維持著極簡主義的、簡單的泄露網(wǎng)站，只是列出了他們的受害者，沒有直接向記者發(fā)出呼吁。但也有人以采訪的形式直接與媒體接觸。

采訪

一些勒索軟件的參與者接受了記者和研究人員的深度采訪。2021年，LockBit運營商接受了俄羅斯OSINT（一個YouTube和Telegram頻道）的采訪。同年，一位匿名的REvil子組織接受了俄語在線雜志Lenta.ru的采訪。2022年，RAMP勒索軟件論壇的創(chuàng)始人Mikhail Matveev（(又名Wazawaka、Babuk、Orange）向the Record詳細(xì)講述了自己的情況，甚至還提供了自己的照片。幾周后，LockBit的一位創(chuàng)始成員接受了vx-underground的采訪。

在大多數(shù)采訪中，威脅行為者都很喜歡深入探討勒索軟件的“場景”，炫耀他們積累的非法財富，并提供有關(guān)威脅形勢和安全行業(yè)的想法。只有一家——REvil附屬公司——對犯罪生活的描述大多是負(fù)面的（“你總是害怕。你會在恐懼中醒來，又在恐懼中睡去，外出時也總是躲在面具和兜帽之下，甚至無法坦誠面對自己的妻子或女朋友”)。

所以，除了上述已經(jīng)討論過的動機(jī)——名聲、自我、信譽、間接增加受害者的壓力——與媒體接觸的另一個可能的原因是“招募”。通過將勒索軟件活動描繪成一項迷人而富有的業(yè)務(wù)，威脅行為者可能會試圖吸引更多的成員和附屬機(jī)構(gòu)。

新聞稿及聲明

少數(shù)勒索軟件組織還會發(fā)布他們所謂的“新聞稿”——他們使用這個術(shù)語本身就說明了問題。例如，Karakurt組織為其新聞稿保留了一個單獨的頁面。在目前公布的三份文件中，一份是公開宣布該組織正在招募新成員，其他的則是關(guān)于具體的襲擊。根據(jù)Karakurt的說法，在后兩種情況下，談判都破裂了，所謂的“新聞稿”實際上是對兩個受害組織毫不掩飾的攻擊，以試圖迫使他們付款和/或造成聲譽損害。

雖然這兩篇“新聞稿”包含了奇怪的、錯誤的措辭，但都是用非常流利的英語寫的。其中一篇還模仿了真正的新聞稿風(fēng)格，甚至直接引用了“Karakurt團(tuán)隊”的話。

【圖11：Karakurt的“新聞稿”頁面】

相比之下，Snatch組織發(fā)布的新聞稿就不那么流暢了，也沒有針對特定的受害者。相反地，它的目的是糾正記者的錯誤（我們將在稍后詳細(xì)討論）。

【圖12：摘錄自Snatch的“新聞稿”】

這份聲明的結(jié)尾稱：“我們始終對合作和溝通持開放態(tài)度，如果你有任何問題，我們隨時準(zhǔn)備在我們的Telegram頻道上回答?！?/p>

另一篇來自Royal的文章（沒有正式的新聞稿標(biāo)題，但標(biāo)題為“立即發(fā)布”）宣稱，該組織不會發(fā)布特定受害者（一所學(xué)校）的數(shù)據(jù)，而是將其刪除，并稱“這符合我們嚴(yán)格的數(shù)據(jù)隱私標(biāo)準(zhǔn)，并表明我們對道德數(shù)據(jù)管理的堅定承諾?！蓖{行為者似乎想要通過這種方式，將他們自己主動采取的“保護(hù)”措施與某些組織對勒索軟件事件和敏感數(shù)據(jù)的錯誤處理進(jìn)行比較，從而將自身描繪成“比一些受害組織更負(fù)責(zé)任和更專業(yè)的人”。

【圖13：Royal勒索軟件組織的公開聲明】

這里特別值得注意的是語言；任何處理過新聞稿和公開聲明的人都能看出這份聲明的大部分風(fēng)格和語氣。例如：“Royal數(shù)據(jù)服務(wù)運營的基本原則”；“在Royal數(shù)據(jù)服務(wù)公司，我們尊重教育和醫(yī)療服務(wù)的神圣性”；“展望未來，我們的目標(biāo)是……”

同樣值得注意的是，Royal似乎正試圖將自身重塑為一家安全服務(wù)公司（“我們的數(shù)據(jù)安全專家團(tuán)隊將提供……一份全面的安全報告，以及我們的最佳建議和緩解措施……”）。它與許多其他勒索軟件組織也存在共同之處——這些組織毫無說服力地試圖將自己描繪成正義的力量，稱自己為“透測試服務(wù)”（Cl0p）；“誠實簡單的滲透測試者”（8Base）或進(jìn)行“網(wǎng)絡(luò)安全研究”（ALPHV/BlackCat）。

重塑品牌是另一種從合法行業(yè)借鑒來的公關(guān)策略，我們可以合理地推測，勒索軟件組織可能會在未來加強這種策略——也許是作為一種招募工具，或者是為了減輕媒體的負(fù)面報道和執(zhí)法部門的關(guān)注。

品牌

品牌對于勒索軟件團(tuán)伙尋求媒體報道非常重要?，槵樕峡诘拿趾途赖膱D片有助于吸引記者和讀者的眼球——特別是當(dāng)涉及到泄密網(wǎng)站時，因為這些網(wǎng)站是這些威脅行為者面向公眾的存在，并且會經(jīng)常被記者、研究人員和受害者訪問。例如，擁有復(fù)古美學(xué)和交互式終端的Akira，或者擁有閃爍霓虹燈標(biāo)志的Donut Leaks。

【圖14：Akira泄漏網(wǎng)站】

【圖15：Donut Leaks網(wǎng)站】

LostTrust勒索軟件組織（可能是MetaEncryptor的更名）很明顯地意識到，它的泄密網(wǎng)站是它與更廣泛的世界聯(lián)系的點，因此它在主頁上選擇了一張新聞發(fā)布會的圖片。

【圖16：LostTrust的泄漏網(wǎng)站。請注意底部的宣傳，其中包括“每個事件都會通知該地區(qū)所有可能的媒體”的警告，這與Dunghill Leak的警告相呼應(yīng)】

另一方面，一些勒索軟件組織——或許是厭倦了這種趨勢——決定完全規(guī)避名字和品牌。

【圖17：一個拒絕給自己命名的勒索軟件組織，這也導(dǎo)致它不可避免地被命名為“無名勒索軟件”（NoName ransomware）】

當(dāng)然，復(fù)雜的品牌并不是勒索軟件團(tuán)伙所獨有的，正如Sophos在《2023年年度威脅報告》中所指出的那樣，它更廣泛地說明了許多類別的威脅行為者越來越專業(yè)化。例如，惡意軟件產(chǎn)品的現(xiàn)代廣告通常以吸引人的圖形和高質(zhì)量的設(shè)計為特征。

一個著名的犯罪論壇——之前定期舉辦“研究競賽”——甚至還有自己的雜志，包括藝術(shù)、教程和對威脅行為者的采訪。網(wǎng)絡(luò)罪犯不僅與媒體接觸，而且還創(chuàng)建了自己的媒體，這或許就是一個例子。

【圖18：犯罪論壇成員制作的雜志圖片】

招聘

當(dāng)一名烏克蘭研究人員在2022年3月從Conti勒索軟件團(tuán)伙內(nèi)部泄露了數(shù)千條信息時，許多人對該組織內(nèi)部的組織程度深感驚訝。它有一個獨特的層次和結(jié)構(gòu)：老板、系統(tǒng)管理員、開發(fā)人員、招聘人員、人力資源和法務(wù)，很像一個合法的公司。它定期支付工資，并規(guī)定工作時間和假期。它甚至有實體場所。特別有趣的一點是，Conti至少有一個人（可能多達(dá)三個）專門負(fù)責(zé)談判贖金，并為泄密網(wǎng)站撰寫“博客文章”（這里的“博客”是受害者名單和他們公布的數(shù)據(jù)的委婉說法）。因此，本文一直在討論的事情——回應(yīng)記者、撰寫新聞稿等等——不一定是黑客在不忙的時候拼湊起來的。在知名的、成熟的組織中，他們可能會成為一個全職的角色。

雖然許多與勒索軟件相關(guān)的活動不需要流利的英語技能，但媒體撰稿工作需要——特別是如果威脅行為者還將撰寫公開聲明。這些人必須從某個地方招募，在犯罪論壇上，招聘英語人士和作家（偶爾也有說其他語言的人）的廣告相當(dāng)常見。當(dāng)然，這些廣告中的許多不一定是針對勒索軟件組織的，但很可能是針對社會工程/詐騙/釣魚活動的。

【圖19：犯罪論壇上的一則“優(yōu)秀英語來電者”廣告。這個廣告可能是某種詐騙活動的廣告】

在其他情況下，提供的工作類型不太清楚，唯一標(biāo)注的信息就是需要作家或演講者：

【圖20：犯罪論壇上的用戶尋找“專業(yè)英語寫手”】

【圖21：犯罪論壇上的招聘廣告。大致內(nèi)容為，“我們正在尋找可以為clearnet網(wǎng)站寫/編輯英文文章的人。如果你感興趣，給我發(fā)信息，我們將討論細(xì)節(jié)。我們會提供高薪，這項工作是一項長期工作，每天需要撰寫1-3篇文章?！痹撚脩暨€在招聘“記者/作家”?！?/p>

研究人員還發(fā)現(xiàn)了一個特別奇怪的例子——雖然與媒體無關(guān)——一個用戶創(chuàng)建了一個題為“分析談判的財政和法律脆弱性”的帖子：

【圖22：用戶帖子的摘錄】

在同一帖子中，該用戶隨后添加了更多細(xì)節(jié)——其他職責(zé)將包括“將大數(shù)據(jù)上傳到洋蔥域”，以及“在談判破裂的情況下”，申請人還將被要求“評估開發(fā)、研究、營銷策略、前景等，以便進(jìn)一步出售給競爭對手”。

【圖23：來自同一用戶的進(jìn)一步細(xì)節(jié)】

研究人員評估，這很可能是試圖通過尋找威脅行為者可用于在談判中施加壓力的妥協(xié)信息，來招募某人幫助勒索受害公司支付贖金。請注意，廣告的第一部分指出“在大多數(shù)情況下（這）不需要使用軟件”，暗示這不是一個使用加密惡意軟件的“傳統(tǒng)”勒索軟件組織。

最后，研究人員還注意到一些用戶將他們的服務(wù)宣傳為翻譯服務(wù)的實例，特別是俄-英和英-俄翻譯。

【圖24：用戶作為翻譯提供服務(wù)】

雖然尚未發(fā)現(xiàn)任何威脅行為者試圖招募具有市場營銷/PR經(jīng)驗者的具體例子，但鑒于勒索軟件組織越來越“出名”（參見LockBit的紋身噱頭和類似的發(fā)展），以及之前討論過的品牌重塑策略，犯罪分子將采取更多協(xié)調(diào)一致的努力來管理他們的公眾形象，并處理越來越多的媒體關(guān)注，這可能只是時間問題。

當(dāng)出現(xiàn)錯誤報道時

研究人員注意到，勒索軟件組織以多種方式利用媒體：邀請記者提問；接受采訪；并利用公開威脅迫使受害者支付贖金。然而，事實證明，他們與媒體的關(guān)系并非總是友好的。勒索軟件組織和其他威脅行為者曾多次批評記者，認(rèn)為他們的報道不準(zhǔn)確或不公平。

例如，WormGPT（ChatGPT的衍生版本，在犯罪市場上出售，供威脅行為者使用）的開發(fā)者關(guān)閉了他們的項目，因為媒體的誤導(dǎo)太多了。在一篇論壇帖子中，他們表示：“我們越來越受到媒體的傷害……為什么他們試圖以這種方式玷污我們的聲譽？”

另一方面，勒索軟件組織在反駁時往往更加咄咄逼人。例如，ALPHV/BlackCat在其泄密網(wǎng)站上發(fā)表了一篇題為《關(guān)于米高梅國際度假村的聲明：澄清事實》的文章，這篇1300字的文章批評了一些媒體不核實消息來源和報道錯誤信息的行為。

【圖25：ALPHV/BlackCat批評“虛假報道”】

【圖26：ALPHV/BlackCat批評另一家媒體“虛假報道”】

聲明接著點名批評了一名記者和一名研究人員，最后說：“我們沒有與任何記者交談……我們不僅沒有，也很可能不會這么做?！庇腥さ氖?，這個例子展示了勒索軟件組織想要在不與媒體接觸的情況下，試圖通過將自身塑造為唯一的、占主導(dǎo)地位的“真理之聲”來掌控敘事權(quán)。

今年早些時候，Cl0p勒索軟件組織利用MOVEit文件傳輸系統(tǒng)的一個漏洞，在一系列備受矚目的攻擊中試圖做了類似的事情。在其泄密網(wǎng)站上的一篇帖子中，該公司表示：“所有談?wù)摯耸碌拿襟w都在做他們一貫做的事情。在彌天大謊中提供很少的真相?！焙髞恚贑l0p向BBC發(fā)送信息郵件后，該組織特別指責(zé)BBC“虛假宣傳”。就像上面的ALPHV/BlackCat的例子一樣，Cl0p正試圖“澄清事實”，糾正它認(rèn)為媒體報道中的不準(zhǔn)確之處，并將自身標(biāo)榜為唯一權(quán)威的信息來源。他們給受害者、研究人員和廣大公眾的“忠告”是：不要相信你在媒體上讀到的東西；只有我們知道真實的故事！

【圖27：Cl0p勒索軟件團(tuán)伙指責(zé)BBC“歪曲”信息】

不穩(wěn)定的關(guān)系

Cl0p并不是唯一一個不信任記者的組織，相反地，這是犯罪論壇上的普遍觀點。許多威脅行為者——不僅僅是勒索軟件組織——都不喜歡媒體，一些非勒索軟件罪犯對記者和勒索軟件團(tuán)伙之間的關(guān)系持懷疑態(tài)度：

【圖28：威脅行為者批評記者相信勒索軟件行為者的“謊言”，并批評勒索軟件行為者“只是試圖欺騙記者并追求影響力”。請注意，這里的情緒與ALPHV/BlackCat和Cl0p在前一節(jié)中表達(dá)的情緒沒有什么不同】

正如勒索軟件組織意識到他們的泄密網(wǎng)站經(jīng)常有記者訪問一樣，犯罪論壇的成員也知道記者已經(jīng)滲透了他們的網(wǎng)站。關(guān)于重大違規(guī)和事件的高流量帖子有時會包含“記者來了”之類的評論，甚至偶爾會演變成全面的咆哮和侮辱。

【圖29：幾個犯罪論壇的成員侮辱記者】

更罕見的是，威脅行為者會喊出和/或攻擊個別記者，就像上面的ALPHV/BlackCat例子一樣。雖然目前這還沒有升級為直接威脅，但這些反應(yīng)很可能是為了讓相關(guān)記者感到不舒服，甚至在某些情況下對其造成名譽損害。

例如，卡片市場布萊恩俱樂部（Brian’s Club）的名字和品牌就是基于安全記者布萊恩·克雷布斯（Brian Krebs）。該網(wǎng)站的主頁和網(wǎng)站本身都使用了克雷布斯的照片、名字和他的姓氏（“Krebs”的“crabs”或“Krabs”）。

當(dāng)然，研究人員也不能幸免于這些策略，并且經(jīng)常受到論壇上的侮辱和威脅。威脅行為者和研究人員之間的關(guān)系是另一回事，超出了本文的范圍，但有一個例子值得注意。在發(fā)表了關(guān)于LockBit團(tuán)伙內(nèi)部運作的三篇系列文章的第一部分之后，研究人員喬恩·迪馬吉奧（Jon DiMaggio）驚恐地發(fā)現(xiàn)，LockBit在一個著名犯罪論壇上的個人資料照片被改成了他自己的照片。

在該系列的最后一部分發(fā)表后，威脅參與者彼此討論了該報告。其中一個輕蔑地表示：“這只是成千上萬的信息安全記者的最新猜測，他們只能猜測和創(chuàng)造無用的標(biāo)題黨內(nèi)容?！?/p>

【圖30：討論DiMaggio報告的LockBit帖子】

由此可見，即使是LockBit——最著名的勒索軟件團(tuán)伙之一，投入了大量的時間和精力來塑造自己的形象，使自己專業(yè)化，并接受媒體采訪——也對記者及其動機(jī)持懷疑態(tài)度。

結(jié)論

事實上，一些勒索軟件組織會急切地尋求媒體報道并與記者溝通，盡管他們對媒體總體上是不信任和批評的。同樣地，許多記者也會對許多公眾人物的活動、道德和動機(jī)感到不安。但不管接受與否，一些勒索軟件的參與者正在成為公眾人物。因此，他們正在投入越來越多的時間來“管理媒體”。他們知道有關(guān)自己的報道，并公開糾正不準(zhǔn)確和遺漏的信息。他們鼓勵提問，并提供采訪。他們意識到，培養(yǎng)與媒體的關(guān)系有助于實現(xiàn)他們自己的目標(biāo)，并改善他們的公眾形象。

在某種程度上，這是勒索軟件團(tuán)伙所獨有的。與幾乎所有其他類型的威脅不同——這些威脅的基礎(chǔ)是盡可能長時間不被發(fā)現(xiàn)，最好是無限期地不被發(fā)現(xiàn)——勒索軟件活動最終必須讓受害者知道自己，以索取贖金。泄露網(wǎng)站必須是公開的，這樣犯罪分子就可以向受害者施加壓力，公布被盜的數(shù)據(jù)。這些因素，以及勒索軟件威脅的爆炸性增長，導(dǎo)致了這樣一種情況：威脅行為者非但沒有回避日益耀眼的媒體聚光燈，反而認(rèn)識到它的“加持”作用——他們可以利用各種機(jī)會直接或間接地向受害者施加壓力；吸引潛在的新員工；增加自己的知名度；管理公眾形象；控制襲擊事件的敘事權(quán)。

目前，這些發(fā)展還處于萌芽階段。雖然一些勒索軟件的參與者確實在努力模仿合法企業(yè)的高效“公關(guān)機(jī)制”，但他們的嘗試往往是粗糙和業(yè)余的。

然而，有跡象表明這種情況正在改變。諸如專門的公關(guān)Telegram頻道、針對記者的常見問題解答以及嘗試招募記者/作家等舉措可能會發(fā)展壯大。就像勒索軟件的許多方面所表現(xiàn)得一樣，商品化和專業(yè)化正在上升。雖然這可能還有一段路要走，但在未來，勒索軟件組織可能會有專門的、全職的公關(guān)團(tuán)隊：文案、發(fā)言人，甚至形象顧問，這不是不可能的。這可能會為勒索軟件的參與者提供一些“錦上添花”的機(jī)會，例如，膨脹自我，加大招募力度等。

與此同時，勒索軟件組織很可能會繼續(xù)試圖控制有關(guān)個人攻擊的敘述，就像Cl0p和ALPHV/BlackCat最近所表現(xiàn)得一樣。我們將密切關(guān)注這一領(lǐng)域的發(fā)展。

原文鏈接：https://news.sophos.com/en-us/2023/12/13/press-and-pressure-ransomware-gangs-and-the-media/