Hive løsepengevareservere stenges til slutt, sier FBI

Seks måneder siden, ifølge til det amerikanske justisdepartementet (DOJ), infiltrerte Federal Bureau of Investigation (FBI) Hive-ransomware-gjengen og begynte å "stjele tilbake" dekrypteringsnøklene for ofre hvis filer hadde blitt kryptert.

Som du nesten sikkert, og dessverre, er klar over, involverer løsepengevareangrep i disse dager vanligvis to assosierte grupper av nettkriminelle.

Disse gruppene "kjenner" hverandre ofte bare ved kallenavn, og "møter" bare på nettet, ved å bruke anonymitetsverktøy for å unngå faktisk å kjenne (eller avsløre, enten ved et uhell eller design) hverandres virkelige identiteter og steder.

Kjernegjengmedlemmene holder seg stort sett i bakgrunnen, og lager ondsinnede programmer som forvrider (eller på annen måte blokkerer tilgang til) alle viktige filer, ved å bruke en tilgangsnøkkel som de holder for seg selv etter at skaden er gjort.

De kjører også en eller flere darkweb "betalingssider" der ofre, løst sagt, går for å betale utpressingspenger i retur for disse tilgangsnøklene, og dermed lar dem låse opp sine frosne datamaskiner og få selskapene deres i gang igjen.

Crimeware-as-a-Service

Denne kjernegruppen er omgitt av en muligens stor og stadig skiftende gruppe av «tilknyttede selskaper» – partnere i kriminalitet som bryter seg inn i andres nettverk for å implantere kjernegjengens «angrepsprogrammer» så bredt og dypt som mulig.

Målet deres, motivert av et "provisjonsgebyr" som kan være så mye som 80 % av den totale utpressingen som betales, er å skape så omfattende og plutselig forstyrrelser for en virksomhet at de ikke bare kan kreve en iøynefallende utpressingsbetaling, men også å la offeret ha lite annet valg enn å betale.

Denne ordningen er generelt kjent som Raas or CaaS, kort for ransomware (eller kriminalitet) som en tjeneste, et navn som står som en ironisk påminnelse om at den nettkriminelle underverdenen gjerne kopierer tilknyttede eller franchisemodellen som brukes av mange legitime virksomheter.

Gjenopprette uten å betale

Det er tre hovedmåter som ofre kan få virksomhetene sine tilbake på skinnene uten å betale opp etter et vellykket nettverksomfattende fillåsingsangrep:

• Ha en robust og effektiv gjenopprettingsplan. Generelt sett betyr dette ikke bare å ha en førsteklasses prosess for å lage sikkerhetskopier, men også å vite hvordan du holder minst én sikkerhetskopi av alt trygt fra ransomware-tilknyttede selskaper (de liker ingenting bedre enn å finne og ødelegge sikkerhetskopiene dine på nettet før de slipper løs den siste fasen av angrepet deres). Du må også ha øvd på hvordan du gjenoppretter disse sikkerhetskopiene pålitelig og raskt nok til at å gjøre det er et levedyktig alternativ til bare å betale opp uansett.
• Finn en feil i fillåseprosessen brukt av angriperne. Vanligvis "låser" ransomware-skurker filene dine ved å kryptere dem med samme type sikker kryptografi som du kan bruke selv når du sikrer nettrafikken eller dine egne sikkerhetskopier. Av og til gjør imidlertid kjernegjengen en eller flere programmeringstabber som kan tillate deg å bruke et gratis verktøy for å "knekke" dekrypteringen og gjenopprette uten å betale. Vær imidlertid oppmerksom på at denne veien til bedring skjer ved flaks, ikke ved design.
• Få tak i de faktiske gjenopprettingspassordene eller nøklene på annen måte. Selv om dette er sjeldent, er det flere måter det kan skje, for eksempel: å identifisere en frakk i gjengen som vil lekke nøklene i et anfall av samvittighet eller et utbrudd av tross; finne en nettverkssikkerhetstabbe som lar et motangrep trekke ut nøklene fra skurkenes egne skjulte servere; eller infiltrere gjengen og få tilgang til de nødvendige dataene i de kriminelles nettverk.

Den siste av disse, infiltrasjon, er hva DOJ sier det er vært i stand til å gjøre for minst noen Hive-ofre siden juli 2022, tilsynelatende kortsluttende utpressingskrav på til sammen mer enn $130 millioner dollar, relatert til mer enn 300 individuelle angrep, på bare seks måneder.

Vi antar at tallet 130 millioner dollar er basert på angripernes første krav; Ransomware-skurker ender noen ganger opp med å gå med på lavere betalinger, og foretrekker å ta noe fremfor ingenting, selv om "rabattene" som tilbys ofte ser ut til å redusere betalingene bare fra uoverkommelig store til iøynefallende enorme. Den gjennomsnittlige etterspørselen basert på tallene ovenfor er $130M/300, eller nær $450,000 per offer.

Sykehus vurderte som rettferdige mål

Som DOJ påpeker, behandler mange løsepengevaregjenger generelt, og Hive-mannskapet spesielt, alle nettverk som rettferdig spill for utpressing, og angriper offentlig finansierte organisasjoner som skoler og sykehus med akkurat samme kraft som de bruker mot rikeste kommersielle selskaper:

[T]hive løsepengevaregruppen […] har målrettet mot mer enn 1500 ofre i over 80 land rundt om i verden, inkludert sykehus, skoledistrikter, finansfirmaer og kritisk infrastruktur.

Dessverre, selv om det å infiltrere en moderne gjeng med nettkriminalitet kan gi deg fantastisk innsikt i gjengens TTP-er (verktøy, teknikker og prosedyrer), og – som i dette tilfellet – gi deg en sjanse til å forstyrre deres operasjoner ved å undergrave utpressingsprosessen som de iøynefallende utpressingskravene er basert på...

… å vite til og med en gjengadministrators passord til de kriminelles darkweb-baserte IT-infrastruktur forteller deg vanligvis ikke hvor den infrastrukturen er basert.

Toveis pseudoanonymitet

En av de store/forferdelige aspektene ved darkweb (avhengig av hvorfor du bruker det, og hvilken side du er på), spesielt Tor (kort for løkfreseren) nettverk som er mye foretrukket av dagens løsepengevarekriminelle, er det du kan kalle dens toveis pseudoanonymitet.

Darkweb beskytter ikke bare identiteten og plasseringen til brukerne som kobler til servere som er vert på den, men skjuler også plasseringen til serverne selv for klientene som besøker.

Serveren (for det meste, i det minste) vet ikke hvem du er når du logger på, og det er det som tiltrekker kunder som nettkriminalitet-tilknyttede selskaper og potensielle darkweb-stoffkjøpere, fordi de har en tendens til å føle at de vil være i stand til å klippe og løpe trygt, selv om kjernegjengoperatørene blir knust.

På samme måte tiltrekkes useriøse serveroperatører av det faktum at selv om deres klienter, tilknyttede selskaper eller egne systemadministratorer blir stoppet, eller snudd eller hacket av rettshåndhevelse, vil de ikke kunne avsløre hvem kjernegjengmedlemmene er, eller hvor de vert for deres ondsinnede nettaktiviteter.

Endelig nedkjøring

Vel, det ser ut til at årsaken til gårsdagens DOJ-pressemelding er at FBI-etterforskere, med bistand fra rettshåndhevelse i både Tyskland og Nederland, nå har identifisert, lokalisert og beslaglagt darkweb-serverne som Hive-gjengen brukte:

Til slutt kunngjorde avdelingen i dag[2023-01-26] at den, i koordinering med tysk rettshåndhevelse (det tyske føderale kriminalpolitiet og Reutlingen politihovedkvarter-CID Esslingen) og den nederlandske nasjonale høyteknologiske kriminalitetsenheten, har tatt kontroll over servere og nettsteder som Hive bruker for å kommunisere med medlemmene, og forstyrrer Hives evne til å angripe og presse ofre.

Hva gjør jeg?

Vi skrev denne artikkelen for å applaudere FBI og dets politipartnere i Europa for å ha kommet så langt ...

...undersøker, infiltrerer, rekognoserer og til slutt slår til for å implodere den nåværende infrastrukturen til dette beryktede løsepengevaremannskapet, med deres gjennomsnittlige utpressingskrav på en halv million dollar, og deres vilje til å ta ut sykehus like lett som de går etter noen andres nettverk.

Dessverre har du sikkert allerede hørt klisjeen det nettkriminalitet avskyr et vakuum, og det er dessverre sant for løsepengevareoperatører like mye som for alle andre aspekter av online kriminalitet.

Hvis kjernegjengmedlemmene ikke blir arrestert, kan de rett og slett ligge lavt en stund, for så å dukke opp under et nytt navn (eller kanskje til og med bevisst og arrogant gjenopplive sitt gamle «merke») med nye servere, tilgjengelig igjen på darkweb, men på et nytt og nå ukjent sted.

Eller andre gjenger med løsepenger vil ganske enkelt øke driften, i håp om å tiltrekke seg noen av "tilknyttede selskaper" som plutselig ble stående uten deres lukrativt ulovlige inntektsstrøm.

Uansett er fjerninger som dette noe vi trenger sårt, som vi trenger å juble når de skjer, men som neppe vil sette mer enn et midlertidig hakk i nettkriminalitet som helhet.

For å redusere mengden penger som ransomware-skurker suger ut av økonomien vår, må vi sikte på forebygging av nettkriminalitet, ikke bare kurere.

Å oppdage, svare på og dermed forhindre potensielle løsepengevare-angrep før de starter, eller mens de utfolder seg, eller til og med i siste øyeblikk, når skurkene prøver å slippe løs den siste filkrypteringsprosessen på tvers av nettverket ditt, er alltid bedre enn stress ved å prøve å komme seg etter et faktisk angrep.

Som Mr Miagi, av Karate Kid-berømmelse, bemerket med viten, "Den beste måten å unngå slag - ikke vær der."

---

LYTT NÅ: EN DAG I LIVET TIL EN KJEMPER AV CYBERKRIMINALITET

Paul Ducklin snakker med Peter Mackenzie, Director of Incident Response hos Sophos, i en cybersikkerhetsøkt som vil alarmere, underholde og utdanne deg, alt i like stor grad.

Lær hvordan du stopper ransomware-skurker før de stopper deg! (Full transkripsjon tilgjengelig.)

---

Har du mangel på tid eller ekspertise til å ta seg av cybersikkerhetstrusselrespons? Bekymret for at cybersikkerhet vil ende opp med å distrahere deg fra alle de andre tingene du trenger å gjøre? Er du usikker på hvordan du skal svare på sikkerhetsrapporter fra ansatte som er genuint opptatt av å hjelpe?

Lær mer om Sophos Managed Detection and Response:
24/7 trusseljakt, deteksjon og respons  ▶

---

• SEO-drevet innhold og PR-distribusjon. Bli forsterket i dag.
• Platoblokkkjede. Web3 Metaverse Intelligence. Kunnskap forsterket. Tilgang her.
• kilde: https://nakedsecurity.sophos.com/2023/01/27/hive-ransomware-servers-shut-down-at-last-says-fbi/