Los servidores de Hive ransomware finalmente se cerraron, dice el FBI

Hace seis meses, conforme al Departamento de Justicia de EE. UU. (DOJ), la Oficina Federal de Investigaciones (FBI) se infiltró en la banda de ransomware Hive y comenzó a “robar de vuelta” las claves de descifrado de las víctimas cuyos archivos habían sido codificados.

Como es casi seguro y lamentablemente consciente, los ataques de ransomware en estos días generalmente involucran a dos grupos asociados de ciberdelincuentes.

Estos grupos a menudo se “conocen” entre sí solo por apodos y se “encuentran” solo en línea, utilizando herramientas de anonimato para evitar conocer (o revelar, ya sea por accidente o por diseño) las identidades y ubicaciones de la vida real de los demás.

Los miembros principales de la pandilla permanecen en gran medida en segundo plano, creando programas maliciosos que codifican (o bloquean el acceso a) todos sus archivos importantes, utilizando una clave de acceso que guardan para ellos después de que se produce el daño.

También ejecutan una o más "páginas de pago" de la web oscura donde las víctimas, en términos generales, pagan dinero de chantaje a cambio de esas claves de acceso, lo que les permite desbloquear sus computadoras congeladas y hacer que sus empresas vuelvan a funcionar.

Crimeware como servicio

Este grupo central está rodeado por un grupo posiblemente grande y en constante cambio de "afiliados": socios en el crimen que irrumpen en las redes de otras personas para implantar los "programas de ataque" de la pandilla central de la manera más amplia y profunda posible.

Su objetivo, motivado por una "tarifa de comisión" que puede llegar al 80 % del total del chantaje pagado, es crear una interrupción tan generalizada y repentina en un negocio que no solo pueden exigir un pago de extorsión deslumbrante, sino también dejar a la víctima con pocas opciones más que pagar.

Este arreglo se conoce generalmente como RaaS or CaaS, corto para ransomware (o software criminal) como servicio, un nombre que se erige como un recordatorio irónico de que el hampa de los ciberdelincuentes se complace en copiar el modelo de afiliación o franquicia utilizado por muchas empresas legítimas.

Recuperar sin pagar

Hay tres formas principales en que las víctimas pueden volver a poner en marcha sus negocios sin pagar después de un ataque exitoso de bloqueo de archivos en toda la red:

• Contar con un plan de recuperación robusto y eficiente. En términos generales, esto significa no solo tener un proceso de primer nivel para hacer copias de seguridad, sino también saber cómo mantener al menos una copia de seguridad de todo a salvo de los afiliados de ransomware (nada les gusta más que encontrar y destruir sus copias de seguridad en línea antes de liberarlas). la fase final de su ataque). También debe haber practicado cómo restaurar esas copias de seguridad de manera confiable y lo suficientemente rápida como para que hacerlo sea una alternativa viable para simplemente pagar de todos modos.
• Encuentre una falla en el proceso de bloqueo de archivos utilizado por los atacantes. Por lo general, los ladrones de ransomware "bloquean" sus archivos cifrándolos con el mismo tipo de criptografía segura que podría usar para proteger su tráfico web o sus propias copias de seguridad. De vez en cuando, sin embargo, la pandilla principal comete uno o más errores de programación que pueden permitirle usar una herramienta gratuita para "descifrar" el descifrado y recuperar sin pagar. Tenga en cuenta, sin embargo, que este camino hacia la recuperación sucede por suerte, no por diseño.
• Obtenga las contraseñas o claves de recuperación reales de alguna otra manera. Aunque esto es raro, hay varias formas en que puede suceder, como: identificar a un traidor dentro de la pandilla que filtrará las llaves en un ataque de conciencia o un estallido de despecho; encontrar un error de seguridad en la red que permitiera un contraataque para extraer las claves de los propios servidores ocultos de los delincuentes; o infiltrarse en la pandilla y obtener acceso encubierto a los datos necesarios en la red de los delincuentes.

El último de estos, infiltración, es lo que el DOJ dice que es sido capaz de hacer para al menos algunas víctimas de Hive desde julio de 2022, demandas de chantaje aparentemente cortocircuitadas por un total de más de $ 130 millones de dólares, relacionadas con más de 300 ataques individuales, en solo seis meses.

Suponemos que la cifra de 130 millones de dólares se basa en las demandas iniciales de los atacantes; Los ladrones de ransomware a veces terminan aceptando pagos más bajos, prefiriendo tomar algo en lugar de nada, aunque los "descuentos" ofrecidos a menudo parecen reducir los pagos solo de inasequiblemente grandes a increíblemente grandes. La demanda promedio promedio basada en las cifras anteriores es de $130 millones/300, o cerca de $450,000 XNUMX por víctima.

Hospitales considerados objetivos justos

Como señala el Departamento de Justicia, muchas pandillas de ransomware en general, y el equipo de Hive en particular, tratan a todas y cada una de las redes como un juego justo para el chantaje, atacando organizaciones financiadas con fondos públicos, como escuelas y hospitales, con el mismo vigor que usan contra el empresas comerciales más ricas:

[E]l grupo de ransomware Hive […] se ha centrado en más de 1500 víctimas en más de 80 países de todo el mundo, incluidos hospitales, distritos escolares, empresas financieras e infraestructura crítica.

Desafortunadamente, a pesar de que infiltrarse en una pandilla moderna de ciberdelincuencia puede brindarle información fantástica sobre los TTP de la pandilla (herramientas, tecnicas y procedimientos) y, como en este caso, darle la oportunidad de interrumpir sus operaciones al subvertir el proceso de chantaje en el que se basan esas demandas de extorsión que hacen llorar los ojos...

…conocer incluso la contraseña del administrador de una pandilla para acceder a la infraestructura de TI basada en la web oscura de los delincuentes, por lo general, no indica dónde se encuentra la infraestructura.

Pseudoanonimato bidireccional

Uno de los grandes/terribles aspectos de la red oscura (dependiendo de por qué la estés usando y de qué lado estés), en particular la Puerta (corto para el enrutador de cebolla) red que es ampliamente favorecida por los delincuentes de ransomware de hoy en día, es lo que podría llamarse su pseudoanonimato bidireccional.

La web oscura no solo protege la identidad y la ubicación de los usuarios que se conectan a los servidores alojados en ella, sino que también oculta la ubicación de los propios servidores a los clientes que los visitan.

El servidor (en su mayor parte, al menos) no sabe quién es usted cuando inicia sesión, que es lo que atrae a clientes como afiliados de ciberdelincuencia y posibles compradores de drogas de la web oscura, porque tienden a sentir que serán capaz de cortar y huir de manera segura, incluso si los principales operadores de pandillas son arrestados.

Del mismo modo, los operadores de servidores deshonestos se sienten atraídos por el hecho de que incluso si sus clientes, afiliados o sus propios administradores de sistemas son arrestados, convertidos o pirateados por las fuerzas del orden, no podrán revelar quiénes son los miembros principales de la pandilla o dónde están. alojar sus actividades maliciosas en línea.

Derribo por fin

Bueno, parece que el motivo del comunicado de prensa del Departamento de Justicia de ayer es que los investigadores del FBI, con la ayuda de las fuerzas del orden tanto en Alemania como en los Países Bajos, han identificado, localizado y confiscado los servidores de la darkweb que estaba usando la pandilla Hive:

Finalmente, el departamento anunció hoy [2023-01-26] que, en coordinación con las fuerzas del orden alemanas (la Policía Criminal Federal Alemana y el Cuartel General de Policía de Reutlingen-CID Esslingen) y la Unidad Nacional de Delitos de Alta Tecnología de los Países Bajos, ha tomado el control de la servidores y sitios web que utiliza Hive para comunicarse con sus miembros, interrumpiendo la capacidad de Hive para atacar y extorsionar a las víctimas.

¿Qué hacer?

Escribimos este artículo para aplaudir al FBI y sus socios encargados de hacer cumplir la ley en Europa por llegar tan lejos...

… investigando, infiltrando, reconociendo y finalmente golpeando para hacer implosionar la infraestructura actual de este notorio equipo de ransomware, con sus demandas de chantaje de medio millón de dólares en promedio, y su disposición a acabar con los hospitales con la misma facilidad con la que persiguen a cualquiera la red de otra persona.

Desafortunadamente, probablemente ya hayas escuchado el cliché de que el cibercrimen aborrece el vacío, y eso es tristemente cierto tanto para los operadores de ransomware como para cualquier otro aspecto de la delincuencia en línea.

Si los pandilleros principales no son arrestados, es posible que simplemente pasen desapercibidos por un tiempo y luego surjan con un nuevo nombre (o tal vez incluso revivan deliberada y arrogantemente su antigua "marca") con nuevos servidores, accesibles una vez más en el sitio web. darkweb pero en una ubicación nueva y ahora desconocida.

O bien, otras pandillas de ransomware simplemente intensificarán sus operaciones, con la esperanza de atraer a algunos de los "afiliados" que de repente se quedaron sin su lucrativo flujo de ingresos ilegal.

De cualquier manera, los derribos como este son algo que necesitamos con urgencia, que debemos celebrar cuando suceden, pero es poco probable que causen más que una mella temporal en la delincuencia cibernética en general.

Para reducir la cantidad de dinero que los delincuentes de ransomware están extrayendo de nuestra economía, debemos apuntar a la prevención del delito cibernético, no solo a curarlo.

Detectar, responder y, por lo tanto, prevenir posibles ataques de ransomware antes de que comiencen, o mientras se desarrollan, o incluso en el último momento, cuando los delincuentes intentan desencadenar el proceso final de codificación de archivos en su red, siempre es mejor que el estrés de tratar de recuperarse de un ataque real.

Como el Sr. Miagi, famoso por Karate Kid, comentó a sabiendas, "La mejor manera de evitar el golpe: no estar allí".

---

ESCUCHA AHORA: UN DÍA EN LA VIDA DE UN LUCHADOR CONTRA EL DELITO CIBERNÉTICO

Paul Ducklin habla con Pedro Mackenzie, Director de Respuesta a Incidentes de Sophos, en una sesión de ciberseguridad que lo alarmará, entretendrá y educará, todo en igual medida.

¡Aprenda cómo detener a los ladrones de ransomware antes de que lo detengan a usted! (Lleno transcripción disponible.)

---

¿Le falta tiempo o experiencia para encargarse de la respuesta a amenazas de ciberseguridad? ¿Le preocupa que la seguridad cibernética termine distrayéndolo de todas las otras cosas que debe hacer? ¿No está seguro de cómo responder a los informes de seguridad de los empleados que realmente están dispuestos a ayudar?

Aprenda más sobre Detección y respuesta gestionadas por Sophos:
Búsqueda, detección y respuesta de amenazas las 24 horas del día, los 7 días de la semana  ▶

---

• Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
• Platoblockchain. Inteligencia del Metaverso Web3. Conocimiento amplificado. Accede Aquí.
• Fuente: https://nakedsecurity.sophos.com/2023/01/27/hive-ransomware-servers-shut-down-at-last-says-fbi/