FBI می گوید سرورهای باج افزار Hive سرانجام تعطیل شدند

شش ماه پیش، مطابق به وزارت دادگستری ایالات متحده (DOJ)، اداره تحقیقات فدرال (FBI) به باج افزار باج افزار Hive نفوذ کرد و شروع به "دزدیدن" کلیدهای رمزگشایی قربانیانی کرد که پرونده های آنها درهم شده بود.

همانطور که تقریباً مطمئناً و متأسفانه آگاه هستید، این روزها حملات باج افزار معمولاً شامل دو گروه مرتبط از مجرمان سایبری می شود.

این گروه‌ها اغلب یکدیگر را فقط با نام مستعار «می‌شناسند» و تنها به‌صورت آنلاین «دیدار می‌شوند» و از ابزارهای ناشناس برای جلوگیری از آن استفاده می‌کنند. واقعا دانستن (یا آشکار کردن، تصادفی یا طراحی) هویت و مکان زندگی واقعی یکدیگر.

اعضای اصلی باند عمدتاً در پس‌زمینه می‌مانند و برنامه‌های مخربی را ایجاد می‌کنند که با استفاده از کلید دسترسی که پس از آسیب رساندن به خود نگه می‌دارند، همه فایل‌های مهم شما را درهم می‌زنند (یا دسترسی به آنها را مسدود می‌کنند).

آنها همچنین یک یا چند "صفحه پرداخت" تاریک وب را اجرا می کنند که در آن قربانیان، به زبان ساده، در ازای آن کلیدهای دسترسی، پول باج خواهی پرداخت می کنند، بنابراین به آنها اجازه می دهند قفل رایانه های مسدود شده خود را باز کنند و شرکت های خود را دوباره راه اندازی کنند.

Crimeware-as-a-Service

این گروه اصلی توسط یک گروه احتمالاً بزرگ و همیشه در حال تغییر از "وابستگان" احاطه شده است - شرکای جنایت که به شبکه های دیگران نفوذ می کنند تا "برنامه های حمله" باند اصلی را تا حد امکان گسترده و عمیق تر اجرا کنند.

هدف آنها با انگیزه «حق کمیسیون» که ممکن است 80 درصد کل باج‌گیری پرداخت شده باشد، ایجاد چنان اختلال گسترده و ناگهانی در یک کسب‌وکار است که نه‌تنها می‌توانند درخواست اخاذی چشمگیر کنند، بلکه همچنین تا قربانی را با چاره‌ای جز پرداخت کردن باقی بگذارند.

این ترتیب عموماً به عنوان شناخته می شود RaaS or CaaS، کوتاه برای باجافزار (و یا جنایت افزار) به عنوان یک سرویس، نامی که به عنوان یادآوری کنایه آمیز است که دنیای اموات مجرمان سایبری از کپی کردن مدل وابسته یا حق امتیاز مورد استفاده توسط بسیاری از مشاغل قانونی خوشحال است.

ریکاوری بدون پرداخت هزینه

سه راه اصلی وجود دارد که قربانیان می توانند کسب و کار خود را بدون پرداخت هزینه پس از یک حمله موفقیت آمیز قفل کردن فایل در سراسر شبکه به بازار بازگردانند:

• یک برنامه بهبود قوی و کارآمد داشته باشید. به طور کلی، این بدان معنی است که نه تنها یک فرآیند درجه یک برای تهیه نسخه پشتیبان دارید، بلکه به این معنی است که چگونه حداقل یک نسخه پشتیبان از همه چیز را در برابر باج افزارهای وابسته حفظ کنید (آنها هیچ چیز را بهتر از یافتن و از بین بردن نسخه های پشتیبان آنلاین شما قبل از آزادسازی دوست ندارند. مرحله نهایی حمله آنها). شما همچنین باید تمرین کنید که چگونه آن پشتیبان‌ها را به‌طور قابل اعتماد و سریع بازیابی کنید که انجام این کار جایگزین مناسبی برای پرداخت هزینه باشد.
• یک نقص در فرآیند قفل کردن فایل که توسط مهاجمان استفاده می شود پیدا کنید. معمولاً باج‌افزارها با رمزگذاری فایل‌های شما با همان نوع رمزنگاری امنی که ممکن است خودتان هنگام ایمن‌سازی ترافیک وب یا پشتیبان‌گیری خود از آن استفاده کنید، آنها را قفل می‌کنند. با این حال، گاهی اوقات، گروه اصلی یک یا چند اشتباه برنامه‌نویسی مرتکب می‌شوند که ممکن است به شما اجازه دهد از یک ابزار رایگان برای «شک کردن» رمزگشایی و بازیابی بدون پرداخت هزینه استفاده کنید. اما آگاه باشید که این مسیر بهبودی با شانس اتفاق می‌افتد، نه با طراحی.
• گذرواژه ها یا کلیدهای بازیابی واقعی را به روش دیگری در دست بگیرید. اگرچه این اتفاق نادر است، اما راه‌های مختلفی می‌تواند رخ دهد، مانند: شناسایی یک کت دور در داخل باند که به دلیل وجدان یا به‌خاطر کینه، کلیدها را درز می‌کند. پیدا کردن یک اشتباه امنیتی شبکه که به یک ضد حمله اجازه می دهد تا کلیدها را از سرورهای مخفی خود کلاهبرداران استخراج کند. یا نفوذ به باند و دسترسی مخفیانه به داده های مورد نیاز در شبکه مجرمان.

آخرین اینها، نفوذ، همان چیزی است که DOJ می گوید توانسته است انجام دهد برای حداقل برخی از قربانیان کندو از ژوئیه 2022، ظاهراً باج‌گیری کوتاه مدت بیش از 130 میلیون دلار، مربوط به بیش از 300 حمله انفرادی، تنها در شش ماه، درخواست می‌کند.

ما فرض می کنیم که رقم 130 میلیون دلار بر اساس خواسته های اولیه مهاجمان است. کلاهبرداران باج‌افزار گاهی اوقات با پرداخت‌های پایین‌تر موافقت می‌کنند، و ترجیح می‌دهند چیزی را به جای هیچ چیز دریافت کنند، اگرچه به نظر می‌رسد که «تخفیف‌های» ارائه‌شده اغلب فقط پرداخت‌ها را از غیرقابل مقرون‌به‌صرفه به بسیار زیاد کاهش می‌دهد. میانگین تقاضای متوسط ​​بر اساس ارقام بالا 130 میلیون دلار/300 دلار یا نزدیک به 450,000 دلار برای هر قربانی است.

بیمارستان ها اهداف عادلانه ای در نظر گرفتند

همانطور که وزارت دادگستری خاطرنشان می کند، بسیاری از باج افزارهای باج افزار به طور کلی، و خدمه Hive به طور خاص، با هر و همه شبکه ها به عنوان یک بازی منصفانه برای باج خواهی رفتار می کنند و به سازمان های دارای بودجه عمومی مانند مدارس و بیمارستان ها با همان قدرتی که علیه آنها استفاده می کنند حمله می کنند. ثروتمندترین شرکت های تجاری:

[T]گروه باج افزار Hive […] بیش از 1500 قربانی را در بیش از 80 کشور در سراسر جهان، از جمله بیمارستان ها، مدارس، شرکت های مالی و زیرساخت های حیاتی هدف قرار داده است.

متأسفانه، حتی اگر نفوذ به یک باند جرایم سایبری مدرن ممکن است بینش خارق‌العاده‌ای از TTPهای باند به شما بدهد (ابزارها، تکنیک ها و رویه هاو - مانند این مورد - به شما فرصتی می دهد تا با براندازی روند باج خواهی که آن مطالبات اخاذی چشمگیر بر اساس آن استوار است، عملکرد آنها را مختل کنید…

... دانستن رمز عبور یک مدیر باند به زیرساخت فناوری اطلاعات مبتنی بر وب تاریک مجرمان معمولاً به شما نمی گوید که این زیرساخت در کجا قرار دارد.

ناشناس بودن دو طرفه

یکی از جنبه های بزرگ/وحشتناک تاریک وب (بسته به اینکه چرا از آن استفاده می کنید و در کدام سمت هستید)، به ویژه تور (کوتاه برای روتر پیاز) شبکه ای که به طور گسترده مورد علاقه جنایتکاران باج افزار امروزی است، همان چیزی است که شما می توانید آن را ناشناس دو طرفه آن بنامید.

دارک وب نه تنها از هویت و مکان کاربرانی که به سرورهای میزبانی شده در آن متصل می شوند محافظت نمی کند، بلکه مکان خود سرورها را از مشتریانی که بازدید می کنند پنهان می کند.

سرور (حداقل در بیشتر موارد) هنگام ورود به سیستم نمی‌داند که شما چه کسی هستید، و این همان چیزی است که مشتریانی مانند وابستگان جرایم سایبری و خریداران احتمالی مواد مخدر در وب تاریک را جذب می‌کند، زیرا آن‌ها تمایل دارند که احساس کنند این کار را انجام خواهند داد. حتی اگر اپراتورهای اصلی باند منهدم شوند، می توانند با خیال راحت کار کنند.

به طور مشابه، اپراتورهای سرور سرکش توسط این واقعیت جذب می‌شوند که حتی اگر مشتریان، شرکت‌های وابسته یا sysadmin‌های خودشان توسط مجری قانون هک شوند، نمی‌توانند فاش کنند که اعضای اصلی باند چه کسانی هستند یا کجا هستند. فعالیت های مخرب آنلاین آنها را میزبانی کند.

در نهایت حذف

خوب، به نظر می رسد دلیل انتشار مطبوعاتی دیروز وزارت دادگستری این است که بازرسان FBI، با کمک مجریان قانون در آلمان و هلند، اکنون سرورهای دارک وب را که باند Hive استفاده می کرد، شناسایی، پیدا کرده و توقیف کرده اند:

سرانجام، این وزارتخانه امروز [2023-01-26] اعلام کرد که با هماهنگی مجری قانون آلمان (پلیس جنایی فدرال آلمان و ستاد پلیس روتلینگن-CID Esslingen) و واحد ملی جرایم فناوری پیشرفته هلند، کنترل این بخش را به دست گرفته است. سرورها و وب‌سایت‌هایی که Hive برای برقراری ارتباط با اعضای خود استفاده می‌کند و توانایی Hive برای حمله و اخاذی از قربانیان را مختل می‌کند.

چه کاری انجام دهید؟

ما این مقاله را نوشتیم تا اف‌بی‌آی و شرکای اجرای قانون آن در اروپا را برای رسیدن به این نقطه تحسین کنیم…

تحقیق، نفوذ، شناسایی و در نهایت حمله به زیرساخت‌های فعلی این خدمه باج‌افزار بدنام، با درخواست‌های باج‌گیری متوسط ​​نیم میلیون دلاری‌شان، و تمایلشان برای خارج کردن بیمارستان‌ها به همان راحتی که به دنبال هر کسی هستند. شبکه دیگران

متأسفانه، احتمالاً قبلاً این کلیشه را شنیده اید جرایم سایبری از خلاء بیزار استو این متأسفانه برای اپراتورهای باج افزار به همان اندازه که برای هر جنبه دیگری از جرم و جنایت آنلاین صادق است.

اگر اعضای اصلی باند دستگیر نشوند، ممکن است به سادگی برای مدتی دراز بکشند، و سپس با نامی جدید (یا شاید حتی عمداً و متکبرانه "برند" قدیمی خود را احیا کنند) با سرورهای جدید، که یک بار دیگر در دسترس هستند. دارک وب اما در مکانی جدید و اکنون ناشناخته.

یا دیگر گروه‌های باج‌افزار به سادگی فعالیت‌های خود را افزایش می‌دهند، به این امید که برخی از «وابستگان» را که ناگهان بدون جریان درآمد غیرقانونی سودآور خود رها شده‌اند، جذب کنند.

در هر صورت، حذف‌هایی مانند این چیزی است که ما فوری به آن نیاز داریم، که باید در هنگام وقوع آن را تشویق کنیم، اما بعید است که در مجموع جرایم سایبری چیزی بیش از یک ضربه موقت باشد.

برای کاهش مقدار پولی که کلاهبرداران باج‌افزار از اقتصاد ما بیرون می‌کشند، باید پیشگیری از جرایم سایبری را هدف قرار دهیم، نه صرفاً درمان را.

شناسایی، پاسخ به و در نتیجه جلوگیری از حملات احتمالی باج‌افزار قبل از شروع، یا زمانی که در حال آشکار شدن هستند، یا حتی در آخرین لحظه، زمانی که کلاهبرداران سعی می‌کنند فرآیند نهایی درهم‌سازی فایل را در شبکه شما آزاد کنند، همیشه بهتر از استرس ناشی از تلاش برای بهبودی پس از یک حمله واقعی

به عنوان آقای میاگی، با شهرت بچه کاراته، آگاهانه متذکر شد, "بهترین راه برای جلوگیری از مشت - حضور نداشته باشید."

---

اکنون گوش کنید: یک روز از زندگی یک جنگجوی جنایات سایبری

پل داکلین با او صحبت می کند پیتر مکنزی، مدیر واکنش به حوادث در Sophos، در یک جلسه امنیت سایبری که همه را به یک اندازه هشدار می دهد، سرگرم می کند و شما را آموزش می دهد.

یاد بگیرید چگونه باج افزارهای باج افزار را قبل از اینکه شما را متوقف کنند متوقف کنید! (پر شده رونوشت در دسترس.)

---

زمان یا تخصص کم برای مراقبت از پاسخ به تهدیدات امنیت سایبری؟ آیا نگران این هستید که امنیت سایبری در نهایت شما را از تمام کارهای دیگری که باید انجام دهید منحرف کند؟ مطمئن نیستید که چگونه به گزارش های امنیتی کارمندانی که واقعاً مشتاق کمک هستند پاسخ دهید؟

اطلاعات بیشتر در مورد شناسایی و پاسخ مدیریت شده Sophos:
شکار، شناسایی و پاسخگویی تهدیدات 24/7  ▶

---

• محتوای مبتنی بر SEO و توزیع روابط عمومی. امروز تقویت شوید.
• پلاتوبلاک چین. Web3 Metaverse Intelligence. دانش تقویت شده دسترسی به اینجا.
• منبع: https://nakedsecurity.sophos.com/2023/01/27/hive-ransomware-servers-shut-down-at-last-says-fbi/