Un elenco delle vittime di ransomware è un post pubblico o una voce in un indice che nomina un’organizzazione in relazione a un’attività di ransomware. Può provenire da un sito di leak, da un tracker delle vittime o dalla stessa affermazione di un gruppo di estorsione. Di per sé, non è una prova di compromissione. La voce può essere incompleta, duplicata, estratta da materiale pubblico o basata su un’accusa non verificata.
Questo termine è importante perché la nominazione pubblica fa parte del modello di pressione usato dai gruppi di ransomware. Un elenco può danneggiare la fiducia, attirare l’attenzione dei media e costringere a una risposta prima che i fatti tecnici siano confermati. Negli attacchi reali, gli elenchi spesso accompagnano la doppia estorsione, in cui gli aggressori minacciano sia di divulgare i dati sia di crittografarli. Per i difensori, un elenco dovrebbe essere trattato come un indizio di intelligence: verificare i log di accesso, i controlli di accesso remoto, gli avvisi degli endpoint, l’integrità dei backup e qualsiasi segno di esfiltrazione dei dati prima di presumere il peggio.