Kuusi kuukautta sitten, mukaan Yhdysvaltain oikeusministeriölle (DOJ), Federal Bureau of Investigation (FBI) soluttautui Hiven kiristysohjelmien jengiin ja alkoi "varastaa takaisin" salauksenpurkuavaimia uhreille, joiden tiedostot oli sekoitettu.
Kuten melkein varmasti ja valitettavasti tiedät, kiristysohjelmahyökkäykset ovat nykyään tyypillisesti mukana kahdessa kyberrikollisryhmässä.
Nämä ryhmät usein "tuntevat" toisensa vain lempinimien perusteella ja "tapaavat" vain verkossa käyttämällä anonymiteettityökaluja välttääkseen todella tietävät (tai paljastavat, vahingossa tai suunnittelemalla) toistensa todellisen identiteetin ja sijainnin.
Ydinjengin jäsenet pysyvät suurelta osin taustalla ja luovat haittaohjelmia, jotka sekoittavat (tai muuten estävät pääsyn) kaikkiin tärkeisiin tiedostoihisi käyttämällä pääsyavainta, jonka he pitävät itselleen vahingon jälkeen.
He ylläpitävät myös yhtä tai useampaa darkwebin "maksusivua", joilla uhrit, löyhästi sanottuna, menevät maksamaan kiristysrahaa vastineeksi pääsyavaimista, jolloin he voivat avata jäätyneen tietokoneensa lukituksen ja saada yrityksensä taas toimimaan.
Crimeware-as-a-Service
Tätä ydinryhmää ympäröi mahdollisesti suuri ja jatkuvasti muuttuva joukko "tytäryhtiöitä" – rikollisuuden kumppaneita, jotka murtautuvat toisten ihmisten verkostoihin istuttaakseen ydinjengin "hyökkäysohjelmat" mahdollisimman laajalle ja syvälle.
Heidän päämääränsä, jonka motiivina on "välityspalkkio", joka voi olla jopa 80 % maksetusta kiristyksen kokonaismäärästä, on aiheuttaa niin laajalle levinneitä ja äkillisiä häiriöitä liiketoiminnalle, että he eivät voi vaatia pelkästään silmiinpistävää kiristysmaksua, vaan myös jättää uhrille muuta vaihtoehtoa kuin maksaa.
Tämä järjestely tunnetaan yleisesti nimellä RAAS or CaaS, lyhenne jstk ransomware (Tai rikosohjelmistot) palveluna, nimi, joka on ironinen muistutus siitä, että kyberrikollinen alamaailma kopioi mielellään monien laillisten yritysten käyttämää tytäryhtiö- tai franchising-mallia.
Toipuminen maksamatta
On kolme päätapaa, joilla uhrit voivat saada yrityksensä takaisin raiteille maksamatta onnistuneen verkon laajuisen tiedostosulkuhyökkäyksen jälkeen:
- Tee vankka ja tehokas toipumissuunnitelma. Yleisesti ottaen tämä ei tarkoita vain huippuluokan varmuuskopiointiprosessia, vaan myös sitä, että tietää, kuinka pitää ainakin yksi varmuuskopio kaikesta turvassa ransomware-tytäryhtiöiltä (he eivät pidä mistään paremmasta kuin löytää ja tuhota online-varmuuskopiosi ennen niiden vapauttamista. hyökkäyksen viimeinen vaihe). Sinun on myös täytynyt harjoitella näiden varmuuskopioiden palauttamista luotettavasti ja tarpeeksi nopeasti, jotta se on varteenotettava vaihtoehto yksinkertaisesti maksamiselle.
- Etsi puute hyökkääjien käyttämässä tiedostojen lukitusprosessissa. Yleensä ransomware-huijarit "lukitsevat" tiedostosi salaamalla ne samalla suojatulla kryptografialla, jota saatat käyttää itse turvataessasi verkkoliikennettäsi tai omia varmuuskopioitasi. Toisinaan ydinjoukko kuitenkin tekee yhden tai useampia ohjelmointivirheitä, joiden avulla voit käyttää ilmaista työkalua salauksen purkamiseen ja palautumiseen maksamatta. Muista kuitenkin, että tämä polku toipumiseen tapahtuu onnen, ei suunnitelman avulla.
- Hanki todelliset palautussalasanat tai avaimet jollain muulla tavalla. Vaikka tämä on harvinaista, se voi tapahtua useilla tavoilla, kuten: tunnistaa jengin sisällä takkin, joka vuotaa avaimet omantunnon häiriön tai vihanpurkauksen vuoksi; verkon tietoturvavirheen löytäminen, joka mahdollistaa vastahyökkäyksen avainten poimimiseksi huijareiden omista piilopalvelimista; tai soluttautua jengiin ja saada salainen pääsy tarvittaviin tietoihin rikollisten verkostossa.
Viimeinen näistä, tunkeutuminen, niin DOJ sanoo sen olevan pystynyt tekemään Ainakin joillekin Hiven uhreille heinäkuusta 2022 lähtien ilmeisesti oikosuljettu kiristysvaatimus on yhteensä yli 130 miljoonaa dollaria, jotka liittyvät yli 300 yksittäiseen hyökkäykseen vain kuudessa kuukaudessa.
Oletamme, että 130 miljoonan dollarin luku perustuu hyökkääjien alkuperäisiin vaatimuksiin; ransomware-roistot päätyvät joskus suostumaan pienempiin maksuihin ja mieluummin ottamaan jotain kuin ei mitään, vaikka tarjotut "alennukset" näyttävät usein vähentävän maksuja vain kohtuuttoman suurista silmiä hyytävän suuriksi. Keskimääräinen kysyntä yllä olevien lukujen perusteella on 130 miljoonaa dollaria/300 eli lähes 450,000 XNUMX dollaria uhria kohden.
Sairaalat pitivät oikeudenmukaisina tavoitteina
Kuten DOJ huomauttaa, monet lunnasohjelmajengit yleensä ja Hiven miehistö erityisesti kohtelevat kaikkia verkkoja reiluna pelinä kiristystä varten ja hyökkäävät julkisesti rahoitettuja organisaatioita, kuten kouluja ja sairaaloita vastaan, samalla tarmokkaalla tavalla kuin he käyttävät niitä vastaan. rikkaimmat kaupalliset yhtiöt:
Hive ransomware -ryhmä […] on kohdistanut kohteena yli 1500 uhria yli 80 maassa ympäri maailmaa, mukaan lukien sairaalat, koulupiirit, rahoitusyritykset ja kriittinen infrastruktuuri.
Valitettavasti vaikka soluttautuminen nykyaikaiseen kyberrikollisjengiin saattaa antaa sinulle upeita näkemyksiä jengin TTP:stä (työkalut, tekniikat ja menettelyt), ja – kuten tässä tapauksessa – antaa sinulle mahdollisuuden häiritä heidän toimintaansa horjuttamalla kiristysprosessia, johon nuo silmiinpistävät kiristysvaatimukset perustuvat…
…jopa jengin ylläpitäjän salasanan tunteminen rikollisten darkweb-pohjaiseen IT-infrastruktuuriin ei yleensä kerro, missä infrastruktuuri sijaitsee.
Kaksisuuntainen pseudoanonyymiys
Yksi darkwebin mahtavista/kauheista puolista (riippuen siitä, miksi käytät sitä ja millä puolella olet), erityisesti Tor (lyhenne jstk sipulireititin) -verkko, jota nykypäivän kiristysohjelmarikolliset suosivat, on se, mitä voisi kutsua sen kaksisuuntaiseksi pseudoanonymiteetiksi.
Darkweb ei vain suojaa käyttäjien identiteettiä ja sijaintia, jotka muodostavat yhteyden sillä isännöityihin palvelimiin, vaan myös piilottaa itse palvelimien sijainnin vierailijoilta.
Palvelin (ainakin suurimmaksi osaksi) ei tiedä kuka olet kirjautuessasi sisään, mikä houkuttelee asiakkaita, kuten verkkorikollisuuden tytäryhtiöitä ja mahdollisia darkweb-lääkkeiden ostajia, koska heillä on tapana tuntea, että he pystyy leikkaamaan ja ajamaan turvallisesti, vaikka ryhmän ydinoperaattorit murtuisivat.
Samoin roistopalvelinoperaattoreita houkuttelee se tosiasia, että vaikka heidän asiakkaat, tytäryhtiöt tai omat järjestelmänvalvojat murtautuisivat, käännetään tai hakkeroidaan lainvalvontaviranomaisten toimesta, he eivät voi paljastaa, keitä ydinjengin jäsenet ovat tai missä he ovat. isännöidä heidän haitallisia verkkotoimintojaan.
Poistaminen vihdoinkin
No, näyttää siltä, että syy eiliseen DOJ:n lehdistötiedotteeseen on se, että FBI-tutkijat sekä Saksan että Alankomaiden lainvalvontaviranomaisten avustuksella ovat nyt tunnistaneet, löytäneet ja takavarikoineet Hiven jengin käyttämät darkweb-palvelimet:
Lopuksi osasto ilmoitti tänään[2023-01-26], että se on yhteistyössä Saksan lainvalvontaviranomaisten (Saksan liittovaltion rikospoliisin ja Reutlingenin poliisin päämajan CID Esslingenin) ja Alankomaiden kansallisen korkean teknologian rikosyksikön kanssa ottanut haltuunsa palvelimet ja verkkosivustot, joita Hive käyttää kommunikoidakseen jäsentensä kanssa, mikä häiritsee Hiven kykyä hyökätä ja kiristää uhreja.
Mitä tehdä?
Kirjoitimme tämän artikkelin kiittääksemme FBI:tä ja sen lainvalvontakumppaneita Euroopassa siitä, että he pääsivät näin pitkälle…
…tutkivat, soluttautuvat, tiedustelevat ja lopulta iskevät tämän pahamaineisen kiristystyöryhmän nykyisen infrastruktuurin räjäyttämiseksi puolen miljoonan dollarin keskimääräisillä kiristysvaatimuksillaan ja halukkuudellaan viedä sairaaloita yhtä helposti kuin he etsivät ketään. toisen verkkoon.
Valitettavasti olet luultavasti jo kuullut kliseen siitä kyberrikollisuus inhoaa tyhjiötä, ja se pätee valitettavasti niin kiristyshaittaohjelmien toimittajiin kuin mihin tahansa muuhun verkkorikollisuuden osa-alueeseen.
Jos ydinjengin jäseniä ei pidätetä, he voivat yksinkertaisesti makaamaan matalalla jonkin aikaa ja keksiä sitten uuden nimen (tai ehkä jopa tietoisesti ja ylimielisesti herättää vanhan "brändinsä" henkiin) uusien palvelimien kanssa, jotka ovat jälleen käytettävissä darkweb, mutta uudessa ja nyt tuntemattomassa paikassa.
Tai muut ransomware-jengit yksinkertaisesti tehostavat toimintaansa toivoen houkuttelevansa joitakin "tytäryhtiöitä", jotka yhtäkkiä jäivät ilman tuottoisaa laitonta tulovirtaansa.
Joka tapauksessa tällaiset poistot ovat jotain, jota tarvitsemme kipeästi, ja meidän on ilahduttava, kun niitä tapahtuu, mutta ne eivät todennäköisesti aiheuta muuta kuin väliaikaista lommoa koko kyberrikollisuuteen.
Vähentääksemme rahamääriä, joita kiristysohjelmarikolliset imevät ulos taloudestamme, meidän on pyrittävä kyberrikollisuuden ehkäisyyn, ei pelkästään parantamiseen.
Mahdollisten kiristysohjelmahyökkäysten havaitseminen, niihin vastaaminen ja siten estäminen ennen niiden alkamista tai niiden alkaessa, tai jopa aivan viime hetkellä, kun huijarit yrittävät päästää lopullisen tiedostojen salausprosessin valloilleen verkossasi, on aina parempi kuin stressiä yrittää toipua todellisesta hyökkäyksestä.
Kuten herra Miagi, Karate Kid -maine, tietoisesti huomautti, "Paras tapa välttää lyöntejä – älä ole paikalla."
KUULU NYT: PÄIVÄ KYBERRIKOSTOISTÄJÄN ELÄMÄSSÄ
Paul Ducklin puhuu Peter Mackenzie, Sophosin tapaturmien torjuntajohtaja, kyberturvallisuusistunnossa, joka hälyttää, huvittaa ja kouluttaa sinua, kaikki yhtä paljon.
Opi pysäyttämään kiristyshaittaohjelmarikolliset ennen kuin he pysäyttävät sinut! (Koko jäljennös saatavilla.)
Napsauta ja vedä alla olevia ääniaaltoja hypätäksesi mihin tahansa kohtaan. Voit myös kuuntele suoraan Soundcloudissa.
Puuttuuko aika tai asiantuntemus kyberturvallisuusuhkien torjuntaan? Oletko huolissasi siitä, että kyberturvallisuus häiritsee sinua kaikista muista asioista, joita sinun on tehtävä? Etkö ole varma, kuinka vastata turvallisuusraportteihin työntekijöiltä, jotka haluavat aidosti auttaa?
Lisätietoja Sophosin hallinnoima tunnistus ja vastaus:
24/7 uhkien metsästys, havaitseminen ja reagointi ▶
- SEO-pohjainen sisällön ja PR-jakelu. Vahvista jo tänään.
- Platoblockchain. Web3 Metaverse Intelligence. Tietoa laajennettu. Pääsy tästä.
- Lähde: https://nakedsecurity.sophos.com/2023/01/27/hive-ransomware-servers-shut-down-at-last-says-fbi/
- 000
- 1
- 2022
- a
- kyky
- pystyy
- Meistä
- edellä
- absoluuttinen
- pääsy
- saatavilla
- onnettomuus
- poikki
- toiminta
- Suosittelijaksi
- Kumppanit
- Jälkeen
- vastaan
- hälytys
- Kaikki
- Salliminen
- jo
- vaihtoehto
- Vaikka
- aina
- määrä
- ja
- ilmoitti
- nimettömyys
- joku
- noin
- järjestely
- pidätetty
- artikkeli
- ulkomuoto
- näkökohdat
- Apu
- liittyvä
- hyökkäys
- Hyökkäävä
- Hyökkäykset
- houkutellut
- houkuttelee
- kirjoittaja
- auto
- saatavissa
- keskimäärin
- takaisin
- tausta
- background-image
- Varmuuskopiointi
- varmuuskopiot
- perustua
- koska
- ennen
- alle
- Paremmin
- Kiristää
- Tukkia
- reunus
- pohja
- Tauko
- toimisto
- liiketoiminta
- yritykset
- ostajille
- soittaa
- Voi saada
- joka
- tapaus
- keskus
- varmasti
- mahdollisuus
- valinta
- asiakkaat
- lähellä
- väri
- kaupallinen
- tiedottaa
- Yritykset
- tietokoneet
- kytkeä
- harkittu
- ohjaus
- koordinointi
- Ydin
- maahan
- kattaa
- luoda
- Luominen
- Rikollisuus
- Rikollinen
- rikolliset
- kriittinen
- Kriittinen infrastruktuuri
- kryptografia
- parantaa
- Nykyinen
- tietoverkkorikollisuuden
- KYBERRIKOLLINEN
- verkkorikollisille
- tietoverkkojen
- Darkweb
- tiedot
- päivä
- päivää
- Kysyntä
- vaatii
- osasto
- oikeuslaitos
- Department of Justice (DoJ)
- Riippuen
- Malli
- tuhota
- Detection
- Johtaja
- näyttö
- Häiriö
- ei
- tekee
- Yhdysvaltojen oikeusministeriön
- dollaria
- alas
- huume
- kukin
- talous
- kouluttaa
- tehokas
- Muut
- työntekijää
- täytäntöönpano
- tarpeeksi
- Eurooppa
- Jopa
- jatkuvasti muuttuva
- kaikki
- asiantuntemus
- kiristys
- uute
- oikeudenmukainen
- FAME
- fantastinen
- FBI
- Liitto-
- Federal Bureau of Investigation
- Kuva
- luvut
- filee
- Asiakirjat
- lopullinen
- viimeinen vaihe
- Vihdoin
- taloudellinen
- Löytää
- löytäminen
- yritykset
- sovittaa
- virhe
- Ilmainen
- alkaen
- jäädytetty
- koko
- peli
- Jengi
- Gangs
- general
- yleensä
- Saksan
- Saksa
- saada
- saada
- Antaa
- Go
- tavoite
- Ryhmä
- Ryhmän
- hakkeroitu
- tapahtua
- tapahtuu
- onnellinen
- ottaa
- kuuli
- korkeus
- auttaa
- kätketty
- Korkea
- Hive
- pitää
- toivoen
- sairaalat
- isäntä
- isännöi
- liihottaa
- Miten
- Miten
- Kuitenkin
- HTML
- HTTPS
- valtava
- Metsästys
- tunnistettu
- tunnistaminen
- identiteetit
- Identiteetti
- tärkeä
- in
- tapaus
- tapahtuman vastaus
- Mukaan lukien
- henkilökohtainen
- Infrastruktuuri
- ensimmäinen
- oivalluksia
- tutkimus
- Tutkijat
- aiheuttaa
- IT
- heinäkuu
- Oikeudenmukaisuus
- Innokas
- Pitää
- avain
- avaimet
- Lapsi
- Tietää
- tietäen
- tunnettu
- suuri
- suureksi osaksi
- Sukunimi
- Laki
- lainvalvontaviranomaisten
- vuotaa
- jättää
- elämä
- vähän
- sijaitsevat
- sijainti
- sijainnit
- työsulku
- Matala
- onni
- tärkein
- TEE
- Tekeminen
- onnistui
- monet
- Marginaali
- max-width
- välineet
- mitata
- Jäsenet
- vain
- ehkä
- miljoona
- miljoona dollaria
- malli
- Moderni
- hetki
- raha
- kk
- lisää
- eniten
- motivoituneita
- mr
- Naked Security
- nimi
- kansallinen
- Tarve
- Alankomaat
- verkko
- Network Security
- verkot
- Uusi
- normaali
- etenkin
- pahamaineinen
- tarjotaan
- Vanha
- ONE
- verkossa
- Operations
- operaattorit
- tilata
- organisatorinen
- Muut
- muuten
- oma
- maksettu
- osa
- erityinen
- kumppani
- Salasana
- salasanat
- polku
- Maksaa
- maksaa
- maksu
- maksut
- ihmisten
- ehkä
- vaihe
- suunnitelma
- Platon
- Platonin tietotieto
- PlatonData
- Kohta
- pistettä
- Valvoa
- sijainti
- mahdollinen
- Viestejä
- mahdollinen
- painaa
- Lehdistötiedote
- estää
- Ehkäisy
- todennäköisesti
- prosessi
- Ohjelmointi
- Ohjelmat
- laittaa
- nopeasti
- raiteet
- Ramppi
- ransomware
- Ransomware hyökkäykset
- HARVINAINEN
- reason
- toipua
- elpyminen
- vähentää
- vapauta
- Raportit
- Vastata
- vastaus
- palata
- paljastaa
- paljastava
- tulot
- Elvyttää
- luja
- ajaa
- juoksu
- turvallista
- turvallisesti
- sama
- Koulu
- Koulut
- turvallinen
- turvaaminen
- turvallisuus
- näyttää
- takavarikoitiin
- servers
- Istunto
- useat
- Shield
- Lyhyt
- sulkea
- puoli
- yksinkertaisesti
- koska
- SIX
- Kuusi kuukautta
- So
- vankka
- jonkin verran
- jotain
- puhuminen
- huolimatta
- kevät
- seisoo
- Alkaa
- alkoi
- pysyä
- stop
- virta
- stressi
- onnistunut
- niin
- äkillinen
- ympäröimä
- SVG
- ottaa
- Neuvottelut
- kohdennettu
- teknologia
- tekniikat
- tilapäinen
- -
- Alankomaat
- maailma
- heidän
- itse
- asiat
- uhkaus
- kolmella
- aika
- että
- tämän päivän
- työkalu
- työkalut
- ylin
- Yhteensä
- liikenne
- siirtyminen
- läpinäkyvä
- kohdella
- totta
- Sorvatut
- tyypillisesti
- varten
- kehittymässä
- yksikkö
- päästää valloilleen
- avata
- URL
- us
- Yhdysvaltain oikeusministeriö
- käyttää
- Käyttäjät
- yleensä
- valtava
- kannattava
- Uhri
- uhrit
- tavalla
- verkko
- Verkkoliikenne
- sivustot
- Mitä
- onko
- joka
- vaikka
- KUKA
- laajalti
- laajalle levinnyt
- tulee
- halukkuus
- ilman
- maailman-
- huolestunut
- kirjailija
- Voit
- Sinun
- itse
- zephyrnet
![S3 Ep104: Pitäisikö sairaalan kiristysohjelmien hyökkääjät lukita elinikäiseksi? [Ääni + teksti] PlatoBlockchain Data Intelligence. Pystysuuntainen haku. Ai.](https://platoblockchain.com/wp-content/uploads/2022/10/s3-ep104-cover-1200-360x188.png "S3 Ep104: Pitäisikö sairaalan kiristysohjelmien hyökkääjät lukita elinikäiseksi? [Ääni + teksti]")
