Un hash di rivendicazione è un identificatore esadecimale associato a una rivendicazione di attacco pubblicata, di solito su un sito di leak, un feed di monitoraggio o un tracker interno. Da solo non prova una violazione. Piuttosto, funziona come un'etichetta di riferimento che gli analisti possono usare per correlare la stessa rivendicazione tra fonti diverse, individuare repost e tracciare se una campagna, il nome di una vittima o un insieme di file viene citato ripetutamente.
Nella sicurezza informatica, gli hash di rivendicazione sono importanti perché gli attori ransomware ed estorsivi usano spesso le rivendicazioni pubbliche come strumenti di pressione. Un hash può aiutare i difensori a cercare nei log, nelle piattaforme di threat intelligence e nei registri degli incidenti attività correlate, ma deve essere considerato contesto, non prova di compromissione. Gli attacchi reali possono associare l'hash a un dominio, al nome di una vittima o a un elenco di file; i difensori dovrebbero comunque verificare indicatori tecnici come traffico in uscita insolito, abuso di account, preparazione dei dati o eventi di cifratura. Usati con attenzione, gli hash di rivendicazione supportano un triage e una correlazione rapidi senza scambiare il branding criminale per prova forense.