Az FBI szerint a Hive zsarolóvírus-szerverei végre leálltak

Az FBI szerint a Hive zsarolóvírus-szerverei végre leálltak

Időbélyeg: 27. január 2023. 12:58
by Meztelen biztonsági író

Hat hónapja, szerint Az Egyesült Államok Igazságügyi Minisztériumához (DOJ) a Szövetségi Nyomozó Iroda (FBI) beszivárgott a Hive ransomware bandába, és elkezdte „visszalopni” a visszafejtési kulcsokat azon áldozatok számára, akiknek fájljait összekódolták.

Amint azt szinte bizonyosan és sajnos tudatában is van, a ransomware támadások manapság jellemzően a kiberbűnözők két kapcsolódó csoportját érintik.

Ezek a csoportok gyakran csak becenevükről „ismerik” egymást, és csak online „találkoznak”, anonimitási eszközöket használva elkerülendő tulajdonképpen egymás valós identitásának és helyszínének ismerete (vagy felfedése, akár véletlenül, akár tervszerűen).

A banda törzstagjai nagyrészt a háttérben maradnak, rosszindulatú programokat hozva létre, amelyek összezavarják (vagy más módon blokkolják a hozzáférést) az összes fontos fájlhoz egy hozzáférési kulcs segítségével, amelyet a kár bekövetkezése után megtartanak maguknak.

Egy vagy több darkweb „fizetési oldalt” is működtetnek, ahol az áldozatok – lazán szólva – zsarolási pénzt fizetnek a hozzáférési kulcsokért cserébe, így lehetővé téve számukra, hogy feloldják lefagyott számítógépeiket, és újra működtesse cégeiket.

Crimeware-as-a-Service

Ezt a törzscsoportot a „leányvállalatok” valószínűleg nagy és folyamatosan változó csoportja veszi körül – olyan bűnpartnerek, akik mások hálózataiba törnek be, hogy a törzsbanda „támadási programjait” a lehető legszélesebb körben és mélyebben beépítsék.

Céljuk a teljes kifizetett zsarolás akár 80%-át is kitevő „jutalék” által motivált, hogy olyan kiterjedt és hirtelen megszakítást okozzon egy vállalkozásnak, hogy ne csak szemet gyönyörködtető zsarolási összeget követelhessenek, hanem hogy az áldozatnak nem marad más választása, mint fizetni.

Ez az elrendezés általánosan ismert RaaS or CaaS, röviden ransomware (Vagy bűnügyi szoftverek) szolgáltatásként, ez a név ironikus emlékeztetőként szolgál arra, hogy a kiberbűnöző alvilág szívesen lemásolja a sok legitim vállalkozás által használt affiliate vagy franchise modellt.

Helyreállítás fizetés nélkül

Három fő módja van annak, hogy az áldozatok visszatereljék vállalkozásaikat fizetés nélkül egy sikeres, az egész hálózatra kiterjedő fájllezárási támadást követően:

  • Legyen robusztus és hatékony helyreállítási terve. Általánosságban elmondható, hogy ez nem csak azt jelenti, hogy kiváló biztonsági mentési folyamatot kell végrehajtani, hanem azt is tudni kell, hogyan lehet mindenről legalább egy biztonsági másolatot biztonságban tartani a ransomware-hez kapcsolódó leányvállalatoktól (semmit sem szeretnek jobban, mint megtalálni és megsemmisíteni az online biztonsági másolatokat, mielőtt szabadon engednék. támadásuk végső fázisa). Azt is be kell gyakorolnia, hogyan állíthatja vissza ezeket a biztonsági másolatokat megbízhatóan és elég gyorsan ahhoz, hogy ez életképes alternatíva legyen az egyszerű fizetés helyett.
  • Keressen hibát a támadók által használt fájllezárási folyamatban. Általában a zsarolóvírusok „zárolják” a fájljait azáltal, hogy ugyanazzal a biztonságos kriptográfiával titkosítják őket, mint amelyet Ön is használhat a webes forgalom vagy a saját biztonsági mentései során. Alkalmanként azonban a törzscsoport egy vagy több programozási hibát követ el, ami lehetővé teheti, hogy egy ingyenes eszköz segítségével „feltörje” a visszafejtést, és fizetés nélkül helyreállítsa. Legyen azonban tudatában annak, hogy ez a gyógyuláshoz vezető út a szerencse, nem pedig a terv alapján történik.
  • Szerezze meg a tényleges helyreállítási jelszavakat vagy kulcsokat valamilyen más módon. Bár ez ritka, többféleképpen is megtörténhet, például: azonosítani kell a bandán belüli kabátot, aki kiszivárogtatja a kulcsokat lelkiismeret-furdalásában vagy haragjában; olyan hálózati biztonsági baklövést találni, amely lehetővé teszi, hogy egy ellentámadás kinyerje a kulcsokat a csalók saját rejtett szervereiről; vagy beszivárog a bandába, és titkos hozzáférést kap a szükséges adatokhoz a bűnözők hálózatában.

Ezek közül az utolsó, beszivárgás, ezt mondja a DOJ képes volt megtenni 2022 júliusa óta legalább néhány Hive-áldozat esetében nyilvánvalóan rövidzárlati zsarolási követelések összesen több mint 130 millió dollárt tesznek ki, amelyek több mint 300 egyedi támadáshoz kapcsolódnak mindössze hat hónap alatt.

Feltételezzük, hogy a 130 millió dolláros szám a támadók kezdeti követelésein alapul; A zsarolóprogramok csalói néha beleegyeznek az alacsonyabb fizetésbe, és szívesebben vesznek valamit, mint a semmit, bár a kínált „kedvezmények” gyakran úgy tűnik, hogy a kifizetéseket megfizethetetlenül hatalmasról szemet gyönyörködtetően hatalmasra csökkentik. Az átlagos kereslet a fenti adatok alapján 130 millió dollár/300, vagyis áldozatonként közel 450,000 XNUMX dollár.

A kórházak tisztességes célpontnak számítottak

Ahogy a DOJ rámutat, sok zsarolóvírus-banda általában, és különösen a Hive legénysége minden hálózatot tisztességes játékként kezel zsarolás céljából, és ugyanolyan erővel támad közfinanszírozott szervezeteket, mint például iskolák és kórházak. leggazdagabb kereskedelmi cégek:

[A] Hive ransomware csoport […] több mint 1500 áldozatot céloz meg a világ több mint 80 országában, beleértve a kórházakat, iskolai körzeteket, pénzügyi cégeket és kritikus infrastruktúrát.

Sajnos, még ha beszivárog egy modern kiberbűnöző bandába, fantasztikus betekintést nyerhetsz a banda TTP-jébe (eszközök, technikák és eljárások), és – mint ebben az esetben – esélyt adnak működésük megzavarására azáltal, hogy felforgatják azt a zsarolási folyamatot, amelyen ezek a szemet gyönyörködtető zsarolási követelések alapulnak…

…a bűnözők darkweb-alapú IT-infrastruktúrájához még egy banda rendszergazdájának a jelszavának ismerete általában nem árulja el, hol található az infrastruktúra.

Kétirányú pszeudoanonimitás

A darkweb egyik nagyszerű/szörnyű aspektusa (attól függően, hogy miért használod, és melyik oldalon állsz), nevezetesen a Tor (röviden a a hagyma router) hálózat, amelyet a mai zsarolóvírus-bűnözők széles körben kedvelnek, kétirányú álnévtelenségének nevezhetjük.

A darkweb nemcsak a rajta tárolt szerverekhez csatlakozó felhasználók identitását és tartózkodási helyét védi, hanem maguknak a szervereknek a helyét is elrejti a látogató ügyfelek elől.

A szerver (legalábbis a legtöbb esetben) nem tudja, ki vagy, amikor bejelentkezel, ami vonzza az ügyfeleket, például a kiberbűnözéssel foglalkozó leányvállalatokat és a leendő darkweb-kábítószer-vásárlókat, mert általában úgy érzik, képes biztonságosan vágni és futni, még akkor is, ha a fő banda operátorait lebuktatják.

Hasonlóképpen vonzza a szélhámos szerverüzemeltetőket az a tény, hogy még ha ügyfeleiket, leányvállalataikat vagy saját rendszeradminjaikat lekapják, megfordítják, vagy feltörik a bűnüldöző szervek, nem tudják felfedni, kik a törzstagok, és hol vannak rosszindulatú online tevékenységeik házigazdája.

Leszerelés végre

Nos, úgy tűnik, a tegnapi DOJ sajtóközlemény oka az, hogy az FBI nyomozói a németországi és a hollandiai bűnüldöző szervek segítségével mostanra azonosították, megtalálták és lefoglalták azokat a darkweb szervereket, amelyeket a Hive banda használt:

Végül a minisztérium ma [2023-01-26] bejelentette, hogy a német bűnüldöző szervekkel (a Német Szövetségi Bűnügyi Rendőrséggel és a Reutlingeni Rendőrkapitányság-CID Esslingen) és a Holland Nemzeti Csúcstechnológiai Bűnügyi Egységgel együttműködve átvette az irányítást a szerverek és webhelyek, amelyeket a Hive a tagjaival való kommunikációra használ, megzavarva a Hive azon képességét, hogy megtámadja és kizsarolja az áldozatokat.

Mit kell tenni?

Ezt a cikket azért írtuk, hogy megtapsoljuk az FBI-t és európai bűnüldöző partnereit, amiért idáig jutottak…

…nyomozzák, beszivárogtatják, felderítik, és végül felrobbanják ennek a hírhedt zsarolóvírus-csapat jelenlegi infrastruktúráját, félmillió dolláros átlagos zsarolási követeléseikkel és hajlandóságukkal a kórházak kiszállítására ugyanolyan gyorsan, mint bárki más után. más hálózata.

Sajnos valószínűleg már hallottad ezt a közhelyet a kiberbűnözés irtózik a légüres tértől, és ez sajnos ugyanúgy igaz a ransomware-üzemeltetőkre, mint az online bűnözés bármely más vonatkozására.

Ha a banda törzstagjait nem tartóztatják le, egyszerűen csak fekszenek egy ideig, majd új néven bukkannak fel (vagy akár szándékosan és arrogánsan felélesztik régi „márkájukat”) új szerverekkel, amelyek ismét elérhetők darkweb, de egy új és most ismeretlen helyen.

Vagy más ransomware-bandák egyszerűen felpörgetik működésüket, abban a reményben, hogy magukhoz vonzzák azokat a „leányvállalatokat”, amelyek hirtelen a jövedelmezően törvénytelen bevételi forrásuk nélkül maradtak.

Akárhogy is, az ilyen eltávolításokra sürgősen szükségünk van, és ujjonganunk kell, amikor megtörténnek, de ez valószínűleg nem fog többet megütni a kiberbűnözés egészében.

Ahhoz, hogy csökkentsük a zsarolóvírusok által a gazdaságunkból kiszívott pénzösszegeket, a kiberbűnözés megelőzésére kell törekednünk, nem pusztán a gyógyításra.

A potenciális ransomware támadások észlelése, reagálása és így megelőzése, mielőtt azok elkezdődnének, vagy kibontakozásuk közben, vagy akár az utolsó pillanatban, amikor a szélhámosok megpróbálják felszabadítani a végső fájl-kódolási folyamatot a hálózaton, mindig jobb, mint a stressz a tényleges támadásból való kilábalásból.

Ahogy a Karate Kid hírnevű Miagi úr, tudatosan megjegyezte, „A legjobb módja annak, hogy elkerüljük az ütéseket – ne légy ott.”

HALLGASS MOST: EGY NAP EGY KIBERBŰNÖZÉS HARCOS ÉLETÉBŐL

Paul Ducklin beszélget vele Peter Mackenzie, a Sophos incidens-reagálási igazgatója, egy kiberbiztonsági ülésen, amely riaszt, szórakoztat és oktat, mindezt egyformán.

Tanuld meg, hogyan állíthatod meg a ransomware csalókat, mielőtt azok megállítanának téged! (Teljes másolat elérhető.)

Kattintson és húzza az alábbi hanghullámokat, hogy bármelyik pontra ugorjon. Te is hallgatni közvetlenül a Soundcloudon.

Kevés idő vagy szakértelem a kiberbiztonsági fenyegetésekre való reagáláshoz? Aggódik, hogy a kiberbiztonság végül elvonja a figyelmét az összes többi tennivalóról? Nem tudja, hogyan reagáljon az olyan alkalmazottak biztonsági jelentéseire, akik valóban segíteni akarnak?

Tudjon meg többet Sophos felügyelt észlelés és válasz:
24 órás fenyegetésvadászat, észlelés és reagálás  ▶

Hive ransomware servers shut down at last, says FBI PlatoBlockchain Data Intelligence. Vertical Search. Ai.

Időbélyeg:

Még több Meztelen biztonság