Serwery ransomware Hive w końcu zostały zamknięte, mówi FBI

Serwery ransomware Hive w końcu zostały zamknięte, mówi FBI

Znacznik czasu: 27 stycznia 2023 12:58
by Nagi pisarz Security

Sześć miesięcy temu, według do Departamentu Sprawiedliwości Stanów Zjednoczonych (DOJ), Federalne Biuro Śledcze (FBI) zinfiltrowało gang ransomware Hive i zaczęło „kraść z powrotem” klucze deszyfrujące dla ofiar, których pliki zostały zaszyfrowane.

Jak prawie na pewno i niestety jesteś tego świadomy, w dzisiejszych czasach ataki ransomware zazwyczaj dotyczą dwóch powiązanych ze sobą grup cyberprzestępców.

Grupy te często „znają się” tylko pod pseudonimami, a „spotykają się” tylko online, używając narzędzi zapewniających anonimowość, aby uniknąć faktycznie poznanie (lub ujawnienie, przypadkowo lub celowo) wzajemnej tożsamości i lokalizacji z prawdziwego życia innych osób.

Główni członkowie gangu pozostają w dużej mierze w tle, tworząc złośliwe programy, które szyfrują (lub w inny sposób blokują dostęp do) wszystkich ważnych plików, używając klucza dostępu, który zachowują dla siebie po wyrządzeniu szkody.

Prowadzą również jedną lub więcej „stron płatności” Darkweb, na których ofiary, luźno mówiąc, płacą szantaż w zamian za te klucze dostępu, umożliwiając im w ten sposób odblokowanie zamrożonych komputerów i ponowne uruchomienie ich firm.

Crimeware jako usługa

Ta podstawowa grupa jest otoczona przez prawdopodobnie dużą i stale zmieniającą się grupę „stowarzyszonych” – wspólników w przestępstwie, którzy włamują się do sieci innych ludzi w celu jak najszerszego i najgłębszego zaszczepienia „programów ataku” głównego gangu.

Ich celem, motywowanym „prowizją”, która może sięgać nawet 80% całkowitej zapłaconej kwoty szantażu, jest spowodowanie tak powszechnych i nagłych zakłóceń w biznesie, że mogą nie tylko zażądać szokującej zapłaty wymuszenia, ale także pozostawić ofierze niewielki wybór, jak tylko zapłacić.

Ten układ jest ogólnie znany jako RaaS or CaaS, skrót od ransomware (lub oprogramowanie przestępcze) jako usługa, nazwa, która stanowi ironiczne przypomnienie, że podziemie cyberprzestępcze chętnie kopiuje model partnerski lub franczyzowy używany przez wiele legalnych firm.

Odzyskiwanie bez płacenia

Istnieją trzy główne sposoby, dzięki którym ofiary mogą przywrócić swoje firmy na tory bez płacenia po udanym ataku polegającym na zablokowaniu plików w całej sieci:

  • Miej solidny i skuteczny plan naprawy. Ogólnie rzecz biorąc, oznacza to nie tylko posiadanie najwyższej jakości procesu tworzenia kopii zapasowych, ale także wiedzę, jak zabezpieczyć co najmniej jedną kopię zapasową wszystkiego przed podmiotami stowarzyszonymi z oprogramowaniem ransomware (nic nie lubi bardziej niż znalezienie i zniszczenie kopii zapasowych online przed uwolnieniem ostatnia faza ataku). Musisz także przećwiczyć niezawodne i szybkie przywracanie tych kopii zapasowych, aby było to realną alternatywą dla zwykłego płacenia.
  • Znajdź lukę w procesie blokowania plików używanym przez atakujących. Zwykle oszuści ransomware „blokują” twoje pliki, szyfrując je za pomocą tego samego rodzaju bezpiecznej kryptografii, której możesz użyć do zabezpieczenia ruchu internetowego lub własnych kopii zapasowych. Czasami jednak główny gang popełnia jeden lub więcej błędów programistycznych, które mogą pozwolić ci użyć bezpłatnego narzędzia do „złamania” deszyfrowania i odzyskania bez płacenia. Należy jednak pamiętać, że ta droga do wyzdrowienia odbywa się dzięki szczęściu, a nie celowo.
  • Zdobądź rzeczywiste hasła odzyskiwania lub klucze w inny sposób. Chociaż zdarza się to rzadko, może się to zdarzyć na kilka sposobów, takich jak: zidentyfikowanie zdrajcy w gangu, który ujawni klucze w przypływie sumienia lub złości; znalezienie błędu w zabezpieczeniach sieci umożliwiającego kontratak w celu wydobycia kluczy z ukrytych serwerów oszustów; lub infiltracja gangu i uzyskanie tajnego dostępu do potrzebnych danych w sieci przestępców.

Ostatni z nich, infiltracja, jest tym, co mówi DOJ mogłem zrobić przynajmniej dla niektórych ofiar Hive od lipca 2022 r., najwyraźniej pomijając żądania szantażu na łączną kwotę ponad 130 milionów dolarów, związane z ponad 300 indywidualnymi atakami, w ciągu zaledwie sześciu miesięcy.

Zakładamy, że kwota 130 milionów dolarów jest oparta na początkowych żądaniach atakujących; oszuści ransomware czasami zgadzają się na niższe płatności, woląc wziąć coś niż nic, chociaż oferowane „zniżki” często wydają się zmniejszać płatności tylko z nieosiągalnych cen do oszałamiająco ogromnych. Średni średni popyt na podstawie powyższych danych wynosi 130 mln USD/300, czyli blisko 450,000 XNUMX USD na ofiarę.

Szpitale uważane za uczciwe cele

Jak wskazuje Departament Sprawiedliwości, ogólnie wiele gangów zajmujących się oprogramowaniem ransomware, a w szczególności załoga Hive, traktuje każdą sieć jako uczciwą grę do szantażu, atakując organizacje finansowane ze środków publicznych, takie jak szkoły i szpitale, z taką samą energią, z jaką wykorzystują przeciwko najbogatsze firmy handlowe:

Grupa ransomware Hive […] zaatakowała ponad 1500 ofiar w ponad 80 krajach na całym świecie, w tym w szpitalach, okręgach szkolnych, firmach finansowych i infrastrukturze krytycznej.

Niestety, nawet jeśli infiltracja współczesnego gangu cyberprzestępczego może dać fantastyczny wgląd w TTP gangu (narzędzia, techniki i procedury) i – tak jak w tym przypadku – dają ci szansę zakłócenia ich działalności poprzez obalenie procesu szantażu, na którym opierają się te łzawiące żądania wymuszeń…

…znajomość nawet hasła administratora gangu do infrastruktury IT opartej na ciemnej sieci przestępców generalnie nie mówi ci, gdzie ta infrastruktura się znajduje.

Dwukierunkowa pseudoanonimowość

Jeden z wielkich/okropnych aspektów ciemnej sieci (w zależności od tego, dlaczego go używasz i po której stronie jesteś), zwłaszcza Tor (skrót od router cebuli), która jest powszechnie preferowana przez dzisiejszych przestępców ransomware, jest czymś, co można nazwać jej dwukierunkową pseudoanonimowością.

Ciemna sieć nie tylko chroni tożsamość i lokalizację użytkowników, którzy łączą się z hostowanymi na niej serwerami, ale także ukrywa lokalizację samych serwerów przed odwiedzającymi ją klientami.

Serwer (przynajmniej w przeważającej części) nie wie, kim jesteś, kiedy się logujesz, co przyciąga klientów, takich jak podmioty powiązane z cyberprzestępczością i potencjalni nabywcy narkotyków w ciemnej sieci, ponieważ zwykle czują, że będą w stanie bezpiecznie ciąć i uciekać, nawet jeśli operatorzy głównego gangu zostaną złapani.

Podobnie, nieuczciwych operatorów serwerów przyciąga fakt, że nawet jeśli ich klienci, podmioty stowarzyszone lub własni administratorzy systemu zostaną złapani, przemienieni lub zhakowani przez organy ścigania, nie będą w stanie ujawnić, kim są członkowie głównego gangu ani gdzie się znajdują. hostować ich złośliwe działania online.

Usunięcie w końcu

Cóż, wydaje się, że powodem wczorajszego komunikatu prasowego Departamentu Sprawiedliwości jest to, że śledczy FBI, z pomocą organów ścigania zarówno w Niemczech, jak i Holandii, zidentyfikowali, zlokalizowali i przejęli serwery Darkweb, z których korzystał gang Hive:

Wreszcie departament ogłosił dzisiaj [2023-01-26], że we współpracy z niemieckimi organami ścigania (niemiecka Federalna Policja Kryminalna i Komenda Główna Policji w Reutlingen - CID Esslingen) oraz holenderską Krajową Jednostką ds. serwery i strony internetowe, których Hive używa do komunikowania się ze swoimi członkami, zakłócając zdolność Hive do atakowania i wyłudzania ofiar.

Co robić?

Napisaliśmy ten artykuł, aby pochwalić FBI i jego partnerów z organów ścigania w Europie za zajście tak daleko…

…dochodzenie, infiltracja, rozpoznanie i ostatecznie uderzenie w celu implozji obecnej infrastruktury tej osławionej ekipy ransomware, z ich średnimi żądaniami szantażu pół miliona dolarów i ich gotowością do przejmowania szpitali z taką samą łatwością, jak ścigania kogokolwiek inna sieć.

Niestety, prawdopodobnie już słyszałeś ten frazes cyberprzestępczość nie znosi próżnii dotyczy to niestety operatorów oprogramowania ransomware w takim samym stopniu, jak każdego innego aspektu przestępczości internetowej.

Jeśli rdzenni członkowie gangu nie zostaną aresztowani, mogą po prostu przez jakiś czas leżeć w ukryciu, a następnie pojawić się pod nową nazwą (a może nawet celowo i arogancko ożywić swoją starą „markę”) z nowymi serwerami, ponownie dostępnymi na darkweb, ale w nowej, obecnie nieznanej lokalizacji.

Lub inne gangi ransomware po prostu zwiększą swoją działalność, mając nadzieję na przyciągnięcie niektórych „podmiotów stowarzyszonych”, które nagle zostały pozbawione lukratywnego, nielegalnego źródła dochodów.

Tak czy inaczej, usunięcia takie jak to są czymś, czego pilnie potrzebujemy i musimy kibicować, gdy się to stanie, ale jest mało prawdopodobne, aby spowodowały one coś więcej niż tylko chwilowy uszczerbek na cyberprzestępczości jako całości.

Aby zmniejszyć ilość pieniędzy, które oszuści ransomware wysysają z naszej gospodarki, musimy dążyć do zapobiegania cyberprzestępczości, a nie tylko do jej leczenia.

Wykrywanie potencjalnych ataków ransomware, reagowanie na nie i zapobieganie im w ten sposób przed ich rozpoczęciem lub w trakcie ich trwania, a nawet w ostatniej chwili, gdy oszuści próbują uruchomić końcowy proces szyfrowania plików w sieci, jest zawsze lepsze niż stres związany z próbami odzyskania sił po prawdziwym ataku.

Jako Mr Miagi, znany z Karate Kid, świadomie zauważył, „Najlepszy sposób na uniknięcie ponczu – nie bądź tam”.

POSŁUCHAJ TERAZ: DZIEŃ Z ŻYCIA WALKI Z CYBERPRZESTĘPCZOŚCIĄ

Rozmawia z Paulem Ducklinem Petera Mackenziego, dyrektor ds. reagowania na incydenty w firmie Sophos, podczas sesji poświęconej cyberbezpieczeństwu, która w równym stopniu zaalarmuje, rozbawi i pouczy.

Dowiedz się, jak powstrzymać oszustów ransomware, zanim oni powstrzymają Ciebie! (Pełny transkrypcja do dyspozycji.)

Kliknij i przeciągnij poniższe fale dźwiękowe, aby przejść do dowolnego punktu. Również możesz słuchaj bezpośrednio na Soundcloudzie.

Brakuje Ci czasu lub wiedzy, aby zająć się reagowaniem na zagrożenia cyberbezpieczeństwa? Martwisz się, że cyberbezpieczeństwo odciągnie Cię od wszystkich innych rzeczy, które musisz zrobić? Nie wiesz, jak reagować na zgłoszenia dotyczące bezpieczeństwa od pracowników, którzy są naprawdę chętni do pomocy?

Dowiedz się więcej o: Zarządzanie wykrywaniem i reagowaniem Sophos:
Całodobowe polowanie na zagrożenia, wykrywanie i reagowanie  ▶

Serwery ransomware Hive w końcu zostały wyłączone, twierdzi FBI PlatoBlockchain Data Intelligence. Wyszukiwanie pionowe. AI.

Znak czasu:

Więcej z Nagie bezpieczeństwo