Der jüngste Hack des MGM-Casinos in Vegas, bei dem die Ransomware-Gruppe Black Cat Reportern öffentlich vorwarf, den Hack fälschlicherweise Scattered Spider zugeschrieben zu haben, rückte die Interaktion von Ransomware-Banden mit den Medien ins Rampenlicht. Nach einem genaueren Blick auf das Darknet und verschiedene Ransomware-Leak-Sites hat das X-Ops-Team von Sophos herausgefunden, dass dies kein Einzelfall war: Ransomware-Gruppen wenden sich zunehmend an die Medien, um ihre Bekanntheit zu erhöhen und Druck auf die Opfer auszuüben.

Dabei nutzen sie eine Reihe von Strategien, um den direkten Kontakt zu den Medien aufrechtzuerhalten. Auf Ransomware-Leakseiten fanden die Sophos-Forscher spezielle Telegram-Kanäle und Kontaktformulare für die Presse, FAQs für Medien und Sonderangebote zur "Zusammenarbeit" mit Journalisten. Sophos X-Ops hat sogar Stellenanzeigen für englischsprachige Autoren in kriminellen Foren gefunden, möglicherweise um Texte für Blogbeiträge zu schreiben, die die Angriffe der Gruppen bekannt machen und Artikel der Mainstream-Presse hervorheben, in denen sie vertreten sind.

Laut einem Blogeintrag von Sophos hacken Ransomware-Angreifer nicht mehr nur Netzwerke – sie versuchen, das öffentliche Narrativ zu "hacken". Für die Cyberkriminellen bietet die Zusammenarbeit mit der Presse mehrere Vorteile: Es stärkt nicht nur ihr Ego, sondern erhöht auch ihren Bekanntheitsgrad – und macht sie zu einem begehrenswerteren "Arbeitgeber" für Kriminelle. Zudem hat sich das Vorgehen als wirksame Methode erwiesen, um Opfer unter Druck zu setzen. Bei der Sophos-Recherche zeigte sich außerdem, dass einige Gruppen wie Cl0P und Royal Pressemitteilungen nutzten, um ihre Aktivitäten in "Sicherheitsdienste" umzubenennen. Dabei könne es sich um eine Rekrutierungstaktik oder den Versuch handeln, ihr öffentliches Image zu verbessern.