Ransomware: Conti-afpersingsgroep weigert hun onderhandelingschats te lekken


Een ransomware-afpersingsgroep wil de berichtgeving in de media over zijn succesvolle aanvallen controleren en onderdrukken: de zogenaamde Conti-groep dreigt de van zijn slachtoffers gestolen gegevens te publiceren als details van losgeldonderhandelingen op internet verschijnen – bijvoorbeeld wanneer journalisten of IT-specialisten informatie ontvangen worden gelekt of u vindt wat u zoekt.

Aanleiding voor deze drastische stap zijn uitgelekte screenshots van berichten die de makers van de ransomware Conti en een van de slachtoffers, het Japanse elektronicabedrijf JVCKennwood, hebben uitgewisseld over het bedrag aan losgeld voor ransomware. Na het ontdekken van het lek brak de groep de onderhandelingen onmiddellijk af en publiceerde de gegevens die waren gestolen van JVCKennwood. De cybercriminelen melden dit op hun leksite in het Tor-netwerk.

In de aankondiging schreef de groep dat het niets tegen persberichten in het algemeen had, maar dat de “onderhandelingen” met zijn “klanten” over het bedrag van het losgeld “normale zaken” waren en daarom discretie verdienden. Sterker nog: de cybercriminelen beweren dat dergelijke rapporten met fragmenten uit de uitwisseling van berichten “intellectueel en ethisch verwerpelijk” zijn en dat ze niet willen deelnemen aan deze “goedkope” procedure (namelijk open chats die eenvoudig door screenshots worden opgepikt en gepubliceerd).

Als je wilt publiceren, moet je vooraf toestemming vragen aan de groep. Je zou praten met een paar geselecteerde specialisten en journalisten. Dit is overigens de eerste publieke verklaring van de groep en er zullen er nog volgen, zo maakte de aankondiging bekend.

Deze dreiging zet niet alleen de getroffenen onder druk om te zwijgen en geen informatie door te geven aan de pers of IT-beveiligingsspecialisten, maar maakt het ook moeilijker voor de laatste twee om hun werk te doen. Deze worden vaak niet rechtstreeks benaderd door de getroffenen, maar verkrijgen hun informatie eerder van bronnen zoals VirusTotal – veel van de getroffenen uploaden voorbeelden van de malware of links naar webchats (waarin ze met de afpersers kunnen praten over het losgeldbedrag).

Specialisten maken daar vaak gebruik van en onderzoeken welke strategieën de aanvallers nastreven, welke nieuwe kwaadaardige code ze gebruiken of dat deze een vooraanstaand bedrijf heeft getroffen. Soms komen ze ook berichten tegen tussen een ransomware-groep en hun slachtoffers en plaatsen ze delen ervan op sociale media of op hun blogs.

De chantagegroep staat vooral bekend om het gebruik van de ransomware Ryuk en zijn opvolger Conti. De Conti-groep is een van de meest succesvolle cybercriminaliteitsbendes niet alleen om de gegevens van hun slachtoffers met malware te versleutelen, maar ook om ze vooraf te kopiëren en vervolgens te dreigen ze te publiceren op een speciaal geëxploiteerde lekwebsite. In hoeverre het altijd een en dezelfde groep is, of liever niet een van de vele splintergroepen, kan alleen worden aangenomen op basis van overeenkomsten in de malwarecode of gedeelde infrastructuur.


(tiw)



Source link

Deze site gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.

%d bloggers liken dit: