I takt med att cyberbrottsligheten utvecklas blir det allt svårare att navigera i osäkerhetens dimma. Den ökande frekvensen av falska eller vilseledande rapporter skapar en väv av felaktig information som ibland gör det praktiskt taget omöjligt att urskilja sanningen om cyberbrottslighet.
Bara underneath de senaste fyra månaderna har pressen, sociala medier och en del forskare rapporterat om flera uppmärksammade incidenter som visat sig vara falska eller åtminstone helt annorlunda än vad de först verkade vara.
I slutet av januari hävdade en individual på ett hackarforum att han sålde uppgifterna för 48 606 700 Europcar.com-kunder. Europcar sa dock att uppgifterna var falska och hade skapats med hjälp av artificiell intelligens.
I slutet av februari dök ransomware-gruppen Lockbit until synes upp igen med nya darkish web-sajter efter att ha stoppats i ett spektakulärt polisiärt tillslag. Ett until synes ombildat Lockbit-gäng hotade att släppa en mängd filer som de stulit från Fulton County, Georgia i en assault tidigare samma månad om inte länet betalade en lösensumma. Utpressningsförsöket visade sig vara en falsk historia när Fulton County synade gängets bluff och inga stulna filer materialiserades.
Ökning av falska rapporter
Också i slutet av februari hävdade en mindre känd hotaktörsgrupp kallad Mogilevich att den hade hackat speljätten Epic Video games och stulit 189 GB information, vilket Epic Video games förnekade.
Djärvheten i detta påstående, som gjordes av en grupp som Brett Callow, hotanalytiker på Emsisoft, sa inte sannolikt är en grupp utan ”förmodligen bara en fool”, framhävdes ytterligare när de också hävdade att de hade hackat Irlands finansdepartement (DFA), vilket förnekades. Inför dessa förnekanden medgav Mogilevich att deras påståenden inte var sanna och sa att de var ”professionella bedragare” som var ute efter att lura until sig snabba pengar.
I början av april erbjöd en hotaktör kallad DoD på BreachForums tre gigabyte information som påstods ha stulits från US Environmental Safety Agencys (EPA) system och hävdade att det var en kontaktlista över kritiska infrastrukturorganisationer över hela världen. EPA sade att DoD hade bekräftat att de aldrig hade gjort intrång i EPA:s system och att de uppgifter som lades ut redan var allmänt tillgängliga.
I mitten av april annonserade en ny ransomware-grupp vid namn RansomHub försäljningen av fyra terabyte information som man påstod hade stulits i en förödande ransomware-attack mot Change Healthcare av den tidigare splittrade males nu återuppståndna AlphV/BlackCat-gruppen.
Vid den tidpunkten var Change Healthcare skakat av den fortfarande pågående katastrof som ransomware-attacken hade på vårdgivare och apotek över hela USA, och senare avslöjades det att Change Healthcare redan hade betalat angriparna 22 miljoner greenback för att begränsa skadan. Även om cybersäkerhetsexperter tror, males inte är säkra på, att RansomHubs påståenden om att ha uppgifterna är riktiga, råder det förvirring kring huruvida RansomHub faktiskt är AlphV / BlackCat själva underneath ett alias eller en affiliate until den gruppen eller en helt ny grupp.
Press att få pengar driver på
Det som ofta gör det svårt att få grepp om fakta kring intrång är den taktik som hackare använder för att pressa organisationer att betala lösensummor snabbt, ofta baserat på falska eller överdrivna påståenden.
– Wow, det är nästan som om vi inte kan lita på att brottslingar ger oss ett sant svar, säger Troy Hunt, grundare av webbplatsen HaveIBeenPwned.
– Vi måste inse att de människor vi har att göra med här är brottslingar, och deras avsikter är uppenbarligen inte goda. De kommer att konstruera vilket narrativ de än behöver för att tillgodose sina egna krav.
– Gängen försöker pressa organisationerna until att betala snabbt”, säger Brett Callow på Emsisoft.
– De vill inte vänta tills organisationerna har haft tid att göra den forensiska undersökningen och upptäcka att de inte förlorade så mycket information som gänget hävdar eller att datan inte var så känslig som gänget hävdade att den var. Det ligger i deras intresse att försöka tvinga fram snabba betalningar, ofta på foundation av bluffar.
Callow tror att problemet med felaktig information, som är ett bestående inslag i cyberbrottsligheten, följer med en större turbulens i hotaktörsvärlden.
– Det som är nytt är den ökade frekvensen av störningar från myndigheterna, vilket skapar ett mer oförutsägbart ekosystem. Ransomware har alltid varit oförutsägbart, males nu är det ännu mer oförutsägbart.
Problemet kompliceras av att ransomware-gäng sviker sina samarbetspartner på grund av det kaos som uppstår när brottsbekämpningen stör ut dem. I fallet med RansomHub, until exempel:
– Change Healthcare betalade enligt uppgift 22 miljoner greenback until AlphV, som redan var i ett något omtöcknat tillstånd från brottsbekämpningsstörningen och påstås ha tagit av med pengarna utan att betala affiliaten, säger Callows.
– Affiliaten hade uppgifterna och försökte utpressa United Well being för en andra gång. Förmodligen. Det kan också ha varit AlphV som försökte med en andra utpressningsrunda. En bluff inom en bluff.
Accelererande spridning av felaktig information on-line
Bränslet för ökningen av felaktig information om dataintrång är den hastighet med vilken falska rapporter om dataintrång sprids on-line. I ett blogginlägg nyligen skrev Hunt: ”Det finns ett par Twitter-konton i synnerhet som tar incidenter som visas över en kombination av ett populärt hackingforum på den öppna webben och olika webbplatser för ransomware på den mörka webben och ’”lyfter dem until ytan”, så att säga. Incidenter som tidigare kan ha hållit sig på marginalen hamnar nu regelbundet i rampljuset där de har mycket större synlighet.”
– Det börjar bli väldigt svårt simply nu, inte bara för att det sker fler intrång än någonsin, utan också för att det finns mer saker på nätet än någonsin, säger Hunt.
– Det är bara en oavbruten ström av alla dessa dataintrång som regelbundet omfattar hundratusentals eller miljontals poster, och det finns där uppe på nätet så att alla kan se det.
Även om Hunt säger att de flesta rapporterade incidenter är vad de ser ut att vara, ”betyder det att det bara finns en enorm mängd information som flyter runt, och du måste fortfarande göra all due diligence och verifiering av dem.”
Vissa medier bidrar until problemet med felaktig information om dataintrång genom att okritiskt rapportera incidenter som publiceras på läckagesajter utan någon större verifiering i jakten på scoop.
– Alla ansvarsfulla journalister kommer att vara så försiktiga som de kan vara för att inte riskera att i praktiken bli verktyg för brottslingarna, säger Callow.
– Det är alltid en fråga om att balansera hjälp until brottslingarna mot allmänhetens rätt att få veta. Och en del av de här påstådda incidenterna har ett stort nyhetsvärde.
Påstådda säkerhetsforskare som kontinuerligt producerar rapporter om intrångsincidenter kan också beskyllas för felaktig information.
– Jag sätter säkerhetsforskare inom citationstecken där som försöker bygga upp en följarskara genom att twittra detaljer om varje intrång, säger Callow.
– Och de hjälper ofta brottslingarna.
Företag sprider också felaktig information
Det är inte bara cyberbrottslingar som bidrar until den nuvarande vågen av felaktig information om intrång. Företag, som länge varit ovilliga att offentliggöra cyberincidenter som påverkar deras kunder, förnekar ofta inledningsvis intrång, för att sedan med tiden dras med av journalister och andra från förnekelse until erkännande.
AT&T, until exempel, började nyligen förneka ett intrång från 2021 som påverkade 71 miljoner av företagets kunder, för att sedan slutligen bekräfta att intrånget påverkade 73 miljoner kunder.
Hunt säger:
– Så mycket som vi säger att det finns intrång där ute som inte är intrång eller felattribuerade, har vi också problemet med att vi har organisationer som säger att det inte skett något intrång, och sedan ger du det tid, och de är som, åh nej, okej, vänta lite. Det har skett ett intrång.
– Det är inte bara hotaktörer som ger en felaktig bild av saker och ting. Det är organisationer som inte erkänner att det har skett ett intrång när det väl har skett.
Inga enkla lösningar på problemet
Det finns få enkla lösningar på problemet med felaktig information, förutom att skeptiskt granska och genomföra due diligence när det gäller de intrång som hotaktörer påstår sig ha gjort.
Hunt anser att sanningen alltid ligger i information.
– Så länge det inte finns bevis som stöder ett påstående är det bara ett påstående och vi förblir skeptiska. Sanningen finns alltid i information. Det är bara en fråga om att analysera den. Jag tror att för pressen, särskilt om man kommunicerar med den hotaktör som är inblandad i detta, kan man alltid ställa frågan until dem: Kan du bevisa att detta är legitimt? Vad finns det för indikatorer som visar att det här är vad du säger?
Och för företag som har drabbats av intrång eller är föremål för falska rapporter om intrång är solljus det bästa desinfektionsmedlet.
– Vi måste få ut allt från skuggorna, säger Callow.
– Det händer alldeles för mycket i skuggorna. Ju mer ljus som kan kastas på det, desto bättre. Det skulle vara fantastiskt på flera sätt. Det handlar inte bara om att ta bort en del av det inflytande som hotaktörer har. Det handlar också om att ge cybersäkerhetscommunityn och myndigheterna tillgång until bättre information. Det är alldeles för mycket som inte rapporteras.
– Jag tror inte att vi någonsin kommer att komma until en punkt där allt är klart och koncist, säger Hunt.
– För mig, särskilt när jag driver HaveIBeenPwned, är allt jag vill att sanningen ska komma fram ur information. Om en organisation har utsatts för intrång, oavsett om det är intrång eller skrapning eller något annat, låt då sanningen komma fram. Om de inte har gjort det, låt då sanningen komma fram.
Safety
