“请留言，我们会尽快回复您。”

“阅读我们最近的媒体报道。”

“问题？请访问我们的常见问题解答页面。”

这些消息不是来自公司网站——尽管您也可以在那里找到它们——它们来自勒索团伙。

黑客的刻板印象是一个不露面、穿着连帽衫的人物蹲在地下室某处的笔记本电脑前。但现代勒索软件团伙却对此进行了 180 度的转变：他们越来越了解媒体，积极寻求媒体报道，联系记者，甚至接受采访。

Sophos X-Ops 研究人员在最近的一份报告中写道，此前，“攻击者定期发布新闻稿和声明的想法 – 更不用说进行详细采访并与记者争论 – 是荒谬的” 。

但如今，“一些勒索软件团伙并没有回避媒体……一些勒索软件团伙很快就抓住了媒体提供的机会。”

攻击不断增加，战术更加明目张胆

勒索软件猖獗，目标是科技巨头、赌场、医疗机构以及介于两者之间的一切。

据估计，到 2023 年，全球有 73% 的组织受到勒索软件攻击的影响，平均支付金额为154 万美元。白宫甚至称勒索软件对国家安全构成威胁。

勒索软件团伙正在蓬勃发展，其策略也变得越来越大胆。除了宣布黑客攻击和公开羞辱组织外，他们还向美国证券交易委员会（SEC）出卖公司。例如，黑猫组织最近在MeridianLink不付款时对其进行了举报，威胁要提起集体诉讼，并启动错误赏金计划，为知名人士和网络漏洞的个人身份信息 (PII) 付费。

最近，他们通过诉诸身体暴力威胁绘制了更加令人震惊的领域。例如，微软对 Octo Tempest 组织的研究将黑客的屏幕截图分享给要求企业登录的特定目标，否则“我会随机派人去那里……当你睡觉时……你不知道什么时候。”

此外，他们还通过使用先进的语音克隆技术、深度伪造以及经过处理的照片和视频来 实施虚拟绑架和性勒索。

与此同时，由于勒索软件即服务套件的激增，网络犯罪零工经济比以往任何时候都更容易进入，这些套件的每月订阅费仅为 40 美元，并附带快速入门指南。

Sophos X-Ops 研究人员表示，勒索软件团伙正在积极追求“商品化和专业化”。他们寻求“恶名、自负、可信度”，旨在通过与媒体接触来“神话”自己，同时控制叙事，增加对受害者的压力，并利用媒体报道作为接触新成员的平台。

研究人员表示：“勒索软件团伙意识到他们的活动被认为具有新闻价值，因此他们将利用媒体的关注来增强自己的‘可信度’并向受害者施加进一步的压力。”

品牌、公关最佳实践

如今，精通媒体的勒索软件组织拥有专门的私人公关渠道；泄露网站包含常见问题解答、消息表单、帮助中心以及有关即将发布的数据的新闻；甚至还邀请记者前来采访。

品牌是一个关键要素；除了他们前卫、不祥和令人难忘的名字之外，帮派还开发了专用的标志和引人注目的图形——从动漫风格到复古霓虹灯再到色彩缤纷的泡泡字母。

例如，威胁行为者 Vice Society 自我介绍道：“大家好！我们决定创建自己的博客。在这里你会看到一些关于我们的新闻、我们对此的评论等等。”

该组织接着感谢一名记者将其列为 2022 年排名前 5 的勒索软件组织，并表达了一句欢快（且讽刺）的话：“有爱！” 它还为记者提供了一份请求表以及它不会回答的问题，例如位置、年龄和首选漏洞/CVE。它的常见问题解答部分详细介绍了它已经运行了多长时间（“从 2021 年 1 月开始”）、它开始的原因（“一群对笔测试感兴趣的朋友”）以及如果法律阻止付款它会做什么（“我们不在乎关于法律”）。

Vice Society 还承诺尝试在 24 小时内回复查询，Sophos X-Ops 研究人员称其为“专业公关最佳实践的一个例子，这表明这对威胁行为者有多么重要。”

同样，数据勒索团伙 RansomHouse 在其网站上表示：“我们高度尊重记者的工作，并将信息获取视为我们的首要任务。我们为记者制定了一个特别计划，其中包括在信息在我们的新闻网站和 Telegram 频道上正式发布前几小时甚至几天分享信息。”

其他威胁者威胁称，如果受害者不付款，他们将向媒体泄露详细信息。著名犯罪论坛的一位用户报告说，与一个组织的谈判已经破裂，他们将把“整个谈判交流”交给“经过验证的媒体或研究人员”。

Sophos X-Ops 研究人员写道：“勒索软件团伙非常清楚，他们可以通过引起媒体兴趣来对受害者施加额外压力。”

直接从消息来源发布新闻稿

虽然许多黑客似乎在寻求媒体关注时更愿意保持个人匿名，但有些黑客正在接受包括The Record在内的记者和研究人员的深入采访。

黑客米哈伊尔·马特维耶夫甚至向 Recorded Future 新闻网站提供了一张自己的自拍照，并厚颜无耻地评论道：“任何地方都没有像勒索软件那样能赚到钱的。”

Sophos X-Ops 研究人员报告称，“在大多数采访中，威胁行为者似乎很高兴有机会深入了解勒索软件‘场景’，讨论他们积累的非法财富，并提供有关威胁形势的‘思想领导’以及安全行业。”

同样，一些勒索软件团体也会提供“新闻稿”。数据勒索组织 Karakurt 则为此类新闻公告维护了一个单独的页面，其中详细介绍了具体攻击、招募新成员并包含来自“Karakurt 团队”的直接引用。

其他人则利用发布来重塑自己的品牌，或将其所谓的道德提升到高于其他群体甚至采取保护措施的受害者组织之上。

在一份“立即发布”的公告中，皇家数据服务集团承诺不会发布来自教育机构的数据，而是将删除这些数据，“符合我们严格的数据隐私标准，并表明我们对道德数据管理的坚定承诺。” ”

Sophos X-Ops 研究人员强调了模仿公开声明的语言，例如“Royal Data Sciences 运作的基本原则”和“我们尊重教育和医疗保健服务的神圣性”。

当媒体认为“错误”时

还有硬币的另一面：勒索软件团伙利用公共平台来羞辱媒体甚至特定记者。

Snatch 组织的一份新闻稿警告媒体报道不正确的事实：“我们看到了同样的错误……媒体年复一年地报道，而没有费心检查数据并研究该项目的历史。”

同样，ALPHV/BlackCat 发表了一篇 1,300 字的帖子，批评众多新闻网站“不检查消息来源并报告不正确的信息”。

CL0P 负责 MOVEit 文件传输系统泄露事件，该事件被认为是近代历史上最重大（且持续发生）的事件之一。在勒索软件组织向 BBC 提供信息后，CL0P 特别指责 BBC“制造宣传”。

Sophos X-Ops 研究人员称其为“澄清事实”的尝试，将自己定位为唯一权威的信息来源。该报告还指出，不信任在犯罪论坛中很常见，尽管勒索软件活动本质上需要公开（至少对受害者来说）。

但研究人员断言，无论他们认为媒体是朋友、敌人还是介于两者之间，毫无疑问“勒索软件攻击者正在成为公众人物”。“因此，他们投入越来越多的时间来‘管理媒体’。”

这些勒索者“意识到培养媒体关系有助于实现他们自己的目标并改善他们的公众形象。”

报告的结论是：“这可能还有很长的路要走，但未来勒索软件组织可能拥有专门的全职公关团队：文案、发言人，甚至形象顾问，这并非不可行。”