Un feed di rivendicazioni ransomware è un flusso di monitoraggio che raccoglie rivendicazioni pubbliche di estorsione fatte da gruppi ransomware o da siti di leak. Può includere il nome di un obiettivo, un dominio elencato, un hash, screenshot o altri indicatori legati a un presunto incidente. I team di sicurezza usano questi feed come segnali di triage: aiutano a stabilire le priorità nella revisione di servizi esposti, log di identità e attività degli endpoint quando un'organizzazione viene menzionata.
Il suo valore principale è la velocità, non la certezza. Un feed di rivendicazioni può far emergere un abuso reale di VPN, portali remoti o credenziali rubate prima che i difensori vedano segni evidenti di malware o interruzioni del servizio. Ma una rivendicazione non è prova di compromissione, crittografia o furto di dati. Gli aggressori possono riutilizzare accessi vecchi, usare una ricognizione incompleta o fare affermazioni non verificate per creare pressione. I difensori dovrebbero trattare ogni voce come un indizio, quindi verificare accessi, stato delle patch, modifiche agli account ed evidenze di abuso di account validi prima di trarre conclusioni.