Bølge af datalækager fra "SiegedSec" og "PLAY"

2023-12-09

Det er en tid med omfattende datalækager. Historisk mange i antal og omfang. Både fra virksomheder herhjemme, men også virksomheder og offentlige myndigheder i alle dele af den vestlige verden. Det er sandsynligvis et scenarie og en virkelighed som vi skal vænne os til, men samtidig også lære at reagere og respondere på. Disse angreb er ikke tilfældige og vil stige i omfang.

SiegedSec
I direkte forlængelse af Ruslands invasion af Ukraine i April sidste år, blev den første aktivitet, fra en hidtil ukendt hacker-aktivist gruppe med navnet "SiegedSec", spottet. Gruppen er ledet af "YourAnonWolf" og har tilknytning til GhostSec. SiegedSec praktiserer defacements og datalækager, men ikke ramsomware distribution.

Den første officielle aktivitet fra "SiegedSec" sker på platformen Telegram, hvor der oprettes en konto få dage inden Ruslands invasion af Ukraine. Mere præcist d. 3.4. 2022. Over flere omgange forsøgte SiegedSec også at oprette konti på Twitter, som dog gentagene gange blev suspenderet, indtil gruppen tilsyneladende opgav sit forehavende.

I nat har SiegedSec, så frigivet en sværm af datalæk, som bl.a. omfatter NATO, Grupo Televisa, Telerad m.fl. Se vedhæftede skærmdump som er taget fra deres lækside på Darkweb. En del af dette data har tidligere været lækket på Telegram men flyttes nu permanent over på en dedikeret server:

SiegedSec skriver om sig selv på deres BlackForums blog - i en tydeligvis ironisk vending, følgende:

"Russian APT group which is also funded by American Republicans which is also funded by the American democrats which is also a product of political extremism / cyberterrorists (according to media)".

PLAY ransomware
En anden gruppe, som tilfældigvis også opstod i direkte forlængelse af Ruslands invasion af Ukraine, hedder PLAY. De er den klassiske ransomware bande som kombinerer datakryptering og samtidig truer med at offentliggøre den eksfiltrerede data fra deres ofre.

PLAY er en dedikeret ransomware gruppe der har frigivet en sværm af datalæk i 2023 kun overgået af den notoriske Ransomware as a Service (RaaS) "LockBit".

Af den fremgår det, at gruppen i torsdags afholdte en omfattende annoncering, primært med gruppens ofre i USA. De fleste med en tidsfrist der skal tjene deres afpresningsstrategi.

På PLAY's FAQ side finder vi følgende beskrivelse:

Datalækager i kølvandet på krig i Europa
Disse to grupper operer begge i angreb mod vestlige mål og med efterfølgende datalækager. De er begge oprettet umiddelbart dagene før Ruslands invasion af Ukraine eller lige efter. Det er et faktum, som skal tænkes ind, hvis man skal forstå deres modus.

Datalækager er blevet et nyt våben i den hybride krig og den praktiseres primært og ikke overraskende af pro-russiske hacktivist og ransomware bander.

Vil ransomware som et våben blive erstattet med datalækager?
Det er mit bedste bud, at netop datalækage og trusler om datalækage, vil vokse i det nye år. Det er et våben der tjener til at skabe utryghed og ustabilitet og kan være kilden til at tjene penge igennem systematisk afpresning. Det bliver interessant at se, om datalækage afpresning i højere grad vil erstatte ransomware distribution. Der er meget vel tegn på at det kunne ske.