שרתי כופר כופר נסגרו לבסוף, אומר ה-FBI

לפני שישה חודשים, פי למשרד המשפטים האמריקני (DOJ), הבולשת הפדרלית (FBI) חדרה לכנופיית תוכנת הכופר של Hive והחלה "לגנוב בחזרה" את מפתחות הפענוח עבור קורבנות שתיקיהם הוסרו.

כפי שאתה כמעט בטוח, ולמרבה הצער, מודע, התקפות תוכנות כופר בימינו כוללות בדרך כלל שתי קבוצות קשורות של פושעי סייבר.

קבוצות אלו לרוב "מכירות" אחת את השנייה רק ​​לפי כינויים, ו"נפגשים" רק באינטרנט, תוך שימוש בכלי אנונימיות כדי להימנע למעשה לדעת (או לחשוף, בין אם בטעות ובין אם בתכנון) את הזהויות והמיקומים האמיתיים של זה של זה.

חברי כנופיית הליבה נשארים ברובם ברקע, ויוצרים תוכנות זדוניות שמערבבות (או חוסמות גישה) לכל הקבצים החשובים שלך, באמצעות מפתח גישה שהם שומרים לעצמם לאחר שהנזק נעשה.

הם גם מפעילים "עמוד תשלום" אחד או יותר של Darkweb שבו קורבנות, באופן רופף, הולכים לשלם כספי סחיטה בתמורה למפתחות הגישה הללו, ובכך מאפשרים להם לפתוח את המחשבים הקפואים שלהם ולהפעיל מחדש את החברות שלהם.

Crimeware-as-a-Service

קבוצת ליבה זו מוקפת בקבוצה אולי גדולה ומשתנה ללא הרף של "שותפים" - שותפים לפשע שפורצים לרשתות של אנשים אחרים במטרה להשתיל את "תוכניות התקיפה" של כנופיית הליבה בצורה רחבה ועמוק ככל האפשר.

המטרה שלהם, המונעת על ידי "עמלת עמלה" שעשויה להגיע ל-80% מסך הסחטנות ששולמו, היא ליצור הפרעה כה רחבה ופתאומית לעסק שהם לא רק יכולים לדרוש תשלום סחיטה מאיר עיניים, אלא גם להשאיר את הקורבן עם הרבה ברירה אלא לשלם.

הסדר זה מכונה בדרך כלל RaaS or CaaS, קיצור ל ransomware (אוֹ תוכנות פשע) כשירות, שם שעומד כתזכורת אירונית לכך שהעולם התחתון של פושעי הסייבר שמח להעתיק את מודל השותפים או הזיכיון בו משתמשים עסקים לגיטימיים רבים.

מתאושש בלי לשלם

ישנן שלוש דרכים עיקריות שבהן קורבנות יכולים להחזיר את העסקים שלהם למסילות מבלי לשלם לאחר מתקפת נעילת קבצים מוצלחת בכל הרשת:

• יש תוכנית הבראה חזקה ויעילה. באופן כללי, זה אומר לא רק שיש תהליך מהשורה הראשונה לביצוע גיבויים, אלא גם לדעת איך לשמור לפחות עותק גיבוי אחד של הכל בטוח מהשותפים הקשורים לתוכנת הכופר (הם לא אוהבים יותר מאשר למצוא ולהרוס את הגיבויים המקוונים שלך לפני שחרור השלב האחרון של ההתקפה שלהם). אתה גם צריך לתרגל איך לשחזר את הגיבויים האלה בצורה מהימנה ומהירה מספיק כדי לעשות זאת היא אלטרנטיבה ריאלית פשוט לשלם בכל מקרה.
• מצא פגם בתהליך נעילת הקבצים המשמש את התוקפים. בדרך כלל, נוכלי תוכנות כופר "נועלים" את הקבצים שלך על ידי הצפנתם עם אותו סוג של קריפטוגרפיה מאובטחת שבה אתה עשוי להשתמש בעצמך בעת אבטחת תעבורת האינטרנט שלך או גיבויים משלך. עם זאת, מדי פעם, חבורת הליבה עושה שגיאת תכנות אחת או יותר שעשויה לאפשר לך להשתמש בכלי חינמי כדי "לפצח" את הפענוח ולהתאושש מבלי לשלם. עם זאת, שים לב שהדרך הזו להחלמה מתרחשת במזל, לא בתכנון.
• השג את סיסמאות השחזור בפועל או מפתחות בדרך אחרת. למרות שזה נדיר, יש כמה דרכים שזה יכול לקרות, כמו: זיהוי מעיל פנייה בתוך החבורה שידליף את המפתחות בהתקף מצפון או פרץ של מרות; מציאת טעות אבטחת רשת המאפשרת התקפת נגד כדי לחלץ את המפתחות מהשרתים הנסתרים של הנוכלים עצמם; או הסתננות לכנופיה וקבלת גישה סמויה לנתונים הדרושים ברשת הפושעים.

האחרון שבהם, הסתננות, זה מה שמשרד המשפטים אומר שזה היה מסוגל לעשות לפחות עבור חלק מהקורבנות של Hive מאז יולי 2022, דרישות סחיטה קצרות ככל הנראה בהיקף של יותר מ-130 מיליון דולר, המתייחסות ליותר מ-300 התקפות בודדות, תוך שישה חודשים בלבד.

אנו מניחים שהנתון של 130 מיליון דולר מבוסס על הדרישות הראשוניות של התוקפים; נוכלי תוכנות כופר בסופו של דבר מסכימים לפעמים להורדת תשלומים, ומעדיפים לקחת משהו ולא כלום, למרות שה"הנחות" המוצעות לעתים קרובות מפחיתות את התשלומים רק מעצומים בלתי סבירים לעצומים מעוררי עיניים. הביקוש הממוצע הממוצע בהתבסס על הנתונים לעיל הוא 130 מיליון דולר/300, או קרוב ל-450,000 דולר לקורבן.

בתי חולים נחשבו יעדים הוגנים

כפי שמציין ה-DOJ, כנופיות רבות של תוכנות כופר בכלל, וצוות ה-Hive בפרט, מתייחסים לכל הרשתות כאל משחק הוגן לסחיטה, ותוקפות ארגונים במימון ציבורי כמו בתי ספר ובתי חולים בדיוק באותה עוצמה שהם משתמשים נגד החברות המסחריות העשירות ביותר:

[T]he Hive תוכנת הכופר […] פנתה ליותר מ-1500 קורבנות ביותר מ-80 מדינות ברחבי העולם, כולל בתי חולים, מחוזות בתי ספר, חברות פיננסיות ותשתיות קריטיות.

למרבה הצער, למרות שחדירה לכנופיית פשעי סייבר מודרנית עשויה לתת לך תובנות פנטסטיות לגבי ה-TTPs של הכנופיה (כלים, טכניקות ונהלים), וגם - כמו במקרה הזה - נותנים לך סיכוי לשבש את פעילותם על ידי ערעור תהליך הסחיטה שעליו מתבססות דרישות הסחיטה מעוררות העין הללו...

... לדעת אפילו את הסיסמה של מנהל כנופיות לתשתית ה-IT מבוססת ה- darkweb של הפושעים, בדרך כלל, לא אומרת לך היכן מתבססת התשתית הזו.

פסבדואנונימיות דו-כיוונית

אחד ההיבטים הגדולים/נוראים של ה- Darkweb (תלוי למה אתה משתמש בו ובאיזה צד אתה נמצא), במיוחד טור (קיצור ל נתב הבצל) רשת המועדפת באופן נרחב על ידי פושעי תוכנות הכופר של ימינו, היא מה שאפשר לכנות הפסבדואנונימיות הדו-כיוונית שלה.

ה-darkweb לא רק מגן על הזהות והמיקום של המשתמשים שמתחברים לשרתים המתארחים בו, אלא גם מסתיר את מיקומם של השרתים עצמם מהלקוחות המבקרים.

השרת (לרוב, לפחות) לא יודע מי אתה כשאתה מתחבר, וזה מה שמושך לקוחות כמו שותפי פשעי סייבר וקוני סמים של darkweb, כי הם נוטים להרגיש שהם יהיו מסוגל לחתוך ולברוח בבטחה, גם אם מפעילי כנופיות הליבה יעצרו.

באופן דומה, מפעילי שרתים סוררים נמשכים לעובדה שגם אם לקוחותיהם, השותפים או מנהלי המערכת שלהם יעצרו, או יהפכו או ייפרצו על ידי רשויות אכיפת החוק, הם לא יוכלו לחשוף מי הם חברי כנופיית הליבה, או היכן הם לארח את הפעילויות המקוונות הזדוניות שלהם.

סוף סוף הורדה

ובכן, נראה שהסיבה להודעה לעיתונות של DOJ מאתמול היא שחוקרי ה-FBI, בסיוע רשויות אכיפת החוק הן בגרמניה והן בהולנד, זיהו, איתרו ותפסו כעת את שרתי darkweb שבהם השתמשה כנופיית Hive:

לבסוף, המחלקה הודיעה היום[2023-01-26] כי בתיאום עם גורמי אכיפת החוק הגרמניים (המשטרה הפדרלית הפלילית הגרמנית ומטה משטרת רויטלינגן-CID Esslingen) ויחידת ההיי-טק הלאומית של הולנד, היא השתלטה על שרתים ואתרים שבהם Hive משתמשת כדי לתקשר עם חבריה, מה שמשבש את היכולת של Hive לתקוף ולסחוט קורבנות.

מה לעשות?

כתבנו את המאמר הזה כדי לברך את ה-FBI ושותפיו לאכיפת החוק באירופה על שהגיעו עד כאן...

… חוקרים, מסתננים, בודקים, ולבסוף מכים כדי לפוצץ את התשתית הנוכחית של צוות תוכנת הכופר הידוע לשמצה הזה, עם דרישות הסחיטה הממוצעת של חצי מיליון דולר, והנכונות שלהם להוציא בתי חולים בקלות כמו שהם רודפים אחרי כל אחד הרשת של אחרת.

למרבה הצער, בטח כבר שמעתם את הקלישאה פשעי סייבר מתעבים ריק, וזה נכון למרבה הצער עבור מפעילי תוכנות כופר באותה מידה שזה נכון לגבי כל היבט אחר של עבריינות מקוונת.

אם חברי כנופיית הליבה לא ייעצרו, הם עלולים פשוט לשכב בשקט לזמן מה, ואז לצוץ תחת שם חדש (או אולי אפילו להחיות בכוונה וביהירות את ה"מותג" הישן שלהם) עם שרתים חדשים, הנגישים שוב באתר darkweb אבל במיקום חדש וכעת לא ידוע.

לחלופין, כנופיות אחרות של תוכנות כופר פשוט יגבירו את פעילותן, בתקווה למשוך כמה מה"שותפים" שנשארו לפתע ללא זרם ההכנסות הבלתי חוקי שלהם.

כך או כך, הסרות כאלה הן משהו שאנחנו זקוקים לו בדחיפות, שאנחנו צריכים לעודד כשהן מתרחשות, אבל זה לא סביר שיציב יותר מאשר פגם זמני בפליליות הרשת בכללותה.

כדי להפחית את כמות הכסף שנוכלי תוכנות כופר שואבים מהכלכלה שלנו, עלינו לשאוף למניעת פשעי סייבר, לא רק לריפוי.

זיהוי, תגובה ובכך מניעת התקפות פוטנציאליות של תוכנות כופר לפני שהן מתחילות, או בזמן שהן מתפתחות, או אפילו ברגע האחרון, כאשר הנוכלים לנסות לשחרר את תהליך ערבול הקבצים הסופי ברחבי הרשת שלך, תמיד טוב יותר מאשר מתח של ניסיון להתאושש מהתקף ממשי.

בתור מר מיאגי, בעל תהילת קראטה קיד, העיר ביודעין, "הדרך הטובה ביותר להימנע מאגרוף - אל תהיה שם."

---

האזינו עכשיו: יום בחייו של לוחם פשעי סייבר

פול דאקלין מדבר עם פיטר מקנזי, מנהל תגובת תקריות ב-Sophos, במפגש אבטחת סייבר שתבהיל, ישעשע ותחנך אותך, הכל באותה מידה.

למד כיצד לעצור נוכלי כופר לפני שהם עוצרים אותך! (מלא תמליל זמין.)

---

חסר לך זמן או מומחיות לטפל בתגובה לאיומי אבטחת סייבר? חוששים שאבטחת סייבר תסיח את דעתך מכל שאר הדברים שאתה צריך לעשות? לא בטוחים איך להגיב לדיווחי אבטחה מעובדים שבאמת רוצים לעזור?

למידע נוסף בנושא Sophos Managed Detection and Response:
ציד, איתור ותגובה של איומים 24/7  ▶

---

• הפצת תוכן ויחסי ציבור מופעל על ידי SEO. קבל הגברה היום.
• Platoblockchain. Web3 Metaverse Intelligence. ידע מוגבר. גישה כאן.
• מקור: https://nakedsecurity.sophos.com/2023/01/27/hive-ransomware-servers-shut-down-at-last-says-fbi/