Seis meses atrás, segundo para o Departamento de Justiça dos EUA (DOJ), o Federal Bureau of Investigation (FBI) se infiltrou na gangue do ransomware Hive e começou a “roubar de volta” as chaves de descriptografia das vítimas cujos arquivos foram embaralhados.
Como você quase certamente, e infelizmente, está ciente, os ataques de ransomware hoje em dia geralmente envolvem dois grupos associados de cibercriminosos.
Esses grupos geralmente “se conhecem” apenas por apelidos e “se encontram” apenas online, usando ferramentas de anonimato para evitar conhecer (ou revelar, seja por acidente ou intencionalmente) as identidades e localizações da vida real uns dos outros.
Os principais membros da gangue permanecem em segundo plano, criando programas maliciosos que embaralham (ou bloqueiam o acesso a) todos os seus arquivos importantes, usando uma chave de acesso que eles guardam para si mesmos depois que o dano é feito.
Eles também executam uma ou mais “páginas de pagamento” da darkweb onde as vítimas, falando vagamente, pagam dinheiro de chantagem em troca dessas chaves de acesso, permitindo assim que desbloqueiem seus computadores congelados e façam suas empresas funcionarem novamente.
Crimeware como serviço
Este grupo central é cercado por um grupo possivelmente grande e em constante mudança de “afiliados” – parceiros no crime que invadem as redes de outras pessoas para implantar os “programas de ataque” da gangue central o mais ampla e profundamente possível.
Seu objetivo, motivado por uma “taxa de comissão” que pode chegar a 80% do total da chantagem paga, é criar uma interrupção tão generalizada e repentina em um negócio que eles possam não apenas exigir um pagamento de extorsão de dar água na boca, mas também para deixar a vítima com pouca escolha a não ser pagar.
Este arranjo é geralmente conhecido como RaaS or CaaS, abreviatura de ransomware (ou crimeware) como serviço, um nome que serve como um lembrete irônico de que o submundo do cibercrime fica feliz em copiar o modelo de afiliado ou franquia usado por muitas empresas legítimas.
Recuperar sem pagar
Existem três maneiras principais pelas quais as vítimas podem colocar seus negócios de volta nos trilhos sem pagar após um ataque bem-sucedido de bloqueio de arquivo em toda a rede:
- Tenha um plano de recuperação robusto e eficiente. De um modo geral, isso significa não apenas ter um processo de alto nível para fazer backups, mas também saber como manter pelo menos uma cópia de backup de tudo a salvo dos afiliados do ransomware (eles gostam de encontrar e destruir seus backups online antes de liberar a fase final de seu ataque). Você também precisa ter praticado como restaurar esses backups de forma confiável e rápida o suficiente para que isso seja uma alternativa viável para simplesmente pagar de qualquer maneira.
- Encontre uma falha no processo de bloqueio de arquivo usado pelos invasores. Normalmente, os criminosos ransomware “bloqueiam” seus arquivos criptografando-os com o mesmo tipo de criptografia segura que você mesmo pode usar ao proteger seu tráfego na Web ou seus próprios backups. Ocasionalmente, no entanto, a gangue principal comete um ou mais erros de programação que podem permitir que você use uma ferramenta gratuita para “quebrar” a descriptografia e recuperar sem pagar. Esteja ciente, no entanto, de que esse caminho para a recuperação acontece por sorte, não por desígnio.
- Obtenha as senhas ou chaves de recuperação reais de alguma outra maneira. Embora isso seja raro, há várias maneiras de isso acontecer, como: identificar um vira-casaca dentro da quadrilha que vai vazar as chaves em um ataque de consciência ou por despeito; encontrar um erro de segurança de rede que permite um contra-ataque para extrair as chaves dos próprios servidores ocultos dos criminosos; ou se infiltrar na gangue e obter acesso secreto aos dados necessários na rede dos criminosos.
O último deles, infiltração, é o que o DOJ diz que é foi capaz de fazer para pelo menos algumas vítimas do Hive desde julho de 2022, aparentemente curto-circuito em demandas de chantagem totalizando mais de $ 130 milhões de dólares, relacionados a mais de 300 ataques individuais, em apenas seis meses.
Estamos assumindo que o valor de US$ 130 milhões é baseado nas demandas iniciais dos atacantes; Às vezes, os criminosos de ransomware acabam concordando com pagamentos mais baixos, preferindo receber algo em vez de nada, embora os “descontos” oferecidos muitas vezes pareçam reduzir os pagamentos apenas de inacessivelmente vastos a incrivelmente enormes. A demanda média com base nos números acima é de US$ 130 milhões/300, ou cerca de US$ 450,000 por vítima.
Hospitais considerados alvos justos
Como aponta o DOJ, muitas gangues de ransomware em geral, e a equipe do Hive em particular, tratam toda e qualquer rede como alvo de chantagem, atacando organizações com financiamento público, como escolas e hospitais, com o mesmo vigor que usam contra o empresas comerciais mais ricas:
[O] grupo de ransomware Hive […] atingiu mais de 1500 vítimas em mais de 80 países ao redor do mundo, incluindo hospitais, distritos escolares, empresas financeiras e infraestrutura crítica.
Infelizmente, mesmo que se infiltrar em uma gangue de cibercrime moderna possa fornecer informações fantásticas sobre os TTPs da gangue (ferramentas, técnicas e procedimentos) e – como neste caso – dar a você a chance de interromper suas operações, subvertendo o processo de chantagem no qual se baseiam essas demandas de extorsão de dar água na boca…
…saber até mesmo a senha do administrador de uma gangue para a infraestrutura de TI baseada na darkweb dos criminosos geralmente não informa onde essa infraestrutura está baseada.
Pseudoanonimato bidirecional
Um dos grandes/terríveis aspectos da darkweb (dependendo de por que você a está usando e de que lado você está), notadamente o Portão (abreviatura de o roteador cebola) que é amplamente preferida pelos criminosos de ransomware de hoje, é o que você pode chamar de pseudoanonimato bidirecional.
A darkweb não apenas protege a identidade e a localização dos usuários que se conectam aos servidores hospedados nela, mas também oculta a localização dos próprios servidores dos clientes que a visitam.
O servidor (na maior parte, pelo menos) não sabe quem você é quando você faz login, que é o que atrai clientes como afiliados do cibercrime e possíveis compradores de drogas da darkweb, porque eles tendem a sentir que serão capaz de cortar e correr com segurança, mesmo que os operadores da gangue principal sejam presos.
Da mesma forma, os operadores de servidores desonestos são atraídos pelo fato de que, mesmo que seus clientes, afiliados ou próprios administradores de sistema sejam presos, denunciados ou hackeados pela polícia, eles não serão capazes de revelar quem são os principais membros da gangue ou onde eles estão. hospedar suas atividades online maliciosas.
Retirada finalmente
Bem, parece que a razão para o comunicado de imprensa do DOJ de ontem é que os investigadores do FBI, com a ajuda da polícia na Alemanha e na Holanda, já identificaram, localizaram e apreenderam os servidores darkweb que a gangue Hive estava usando:
Finalmente, o departamento anunciou hoje [2023-01-26] que, em coordenação com a aplicação da lei alemã (a Polícia Criminal Federal Alemã e Sede da Polícia de Reutlingen-CID Esslingen) e a Unidade Nacional Holandesa de Crimes de Alta Tecnologia, assumiu o controle do servidores e sites que o Hive usa para se comunicar com seus membros, interrompendo a capacidade do Hive de atacar e extorquir as vítimas.
O que fazer?
Escrevemos este artigo para aplaudir o FBI e seus parceiros policiais na Europa por chegarem tão longe…
…investigando, infiltrando, reconhecendo e, finalmente, atacando para implodir a infraestrutura atual dessa notória equipe de ransomware, com suas demandas de chantagem de meio milhão de dólares em média e sua vontade de destruir hospitais tão prontamente quanto atacam qualquer um rede de outra pessoa.
Infelizmente, você provavelmente já ouviu o clichê de que o cibercrime abomina um vácuo, e isso é tristemente verdadeiro para os operadores de ransomware tanto quanto para qualquer outro aspecto da criminalidade online.
Se os membros principais da gangue não forem presos, eles podem simplesmente ficar escondidos por um tempo e depois surgir com um novo nome (ou talvez até reviver deliberada e arrogantemente sua antiga “marca”) com novos servidores, acessíveis mais uma vez no site. darkweb, mas em um local novo e agora desconhecido.
Ou outras gangues de ransomware simplesmente aumentarão suas operações, na esperança de atrair alguns dos “afiliados” que de repente ficaram sem seu lucrativo fluxo de receita ilegal.
De qualquer forma, remoções como essa são algo de que precisamos com urgência, que precisamos comemorar quando acontecem, mas que provavelmente não causarão mais do que um impacto temporário na criminalidade cibernética como um todo.
Para reduzir a quantidade de dinheiro que os criminosos de ransomware estão sugando de nossa economia, precisamos visar a prevenção do crime cibernético, não apenas a cura.
Detectar, responder e, assim, prevenir possíveis ataques de ransomware antes que eles comecem, ou enquanto eles estão se desenrolando, ou mesmo no último momento, quando os bandidos tentam desencadear o processo final de embaralhamento de arquivos em sua rede, é sempre melhor do que o estresse de tentar se recuperar de um ataque real.
Como o Sr. Miagi, famoso por Karate Kid, conscientemente observou, “Melhor maneira de evitar um soco – não estar lá.”
OUÇA AGORA: UM DIA NA VIDA DE UM COMBATE AO CIBERCRIME
Paul Ducklin fala com Pedro Mackenzie, Diretor de Resposta a Incidentes da Sophos, em uma sessão de segurança cibernética que irá alarmar, divertir e educar você, tudo em igual medida.
Aprenda como parar os criminosos ransomware antes que eles o parem! (Cheio cópia acessível.)
Clique e arraste nas ondas sonoras abaixo para pular para qualquer ponto. Você também pode ouça diretamente no Soundcloud.
Falta de tempo ou conhecimento para cuidar da resposta a ameaças de segurança cibernética? Preocupado que a segurança cibernética acabe distraindo você de todas as outras coisas que você precisa fazer? Não sabe como responder aos relatórios de segurança de funcionários que estão genuinamente interessados em ajudar?
Saiba mais sobre Detecção e Resposta Gerenciada Sophos:
Caça, detecção e resposta a ameaças 24 horas por dia, 7 dias por semana ▶
- Conteúdo com tecnologia de SEO e distribuição de relações públicas. Seja amplificado hoje.
- Platoblockchain. Inteligência Metaverso Web3. Conhecimento Ampliado. Acesse aqui.
- Fonte: https://nakedsecurity.sophos.com/2023/01/27/hive-ransomware-servers-shut-down-at-last-says-fbi/
- 000
- 1
- 2022
- a
- habilidade
- Capaz
- Sobre
- acima
- absoluto
- Acesso
- acessível
- acidente
- em
- atividades
- Afiliados
- Afiliados
- Depois de
- contra
- alarme
- Todos os Produtos
- Permitindo
- já
- alternativa
- Apesar
- sempre
- quantidade
- e
- anunciou
- Anonimato
- qualquer um
- por aí
- arranjo
- preso
- artigo
- aspecto
- aspectos
- Assistência
- associado
- ataque
- Atacante
- Ataques
- atraídos
- Atrai
- autor
- auto
- disponível
- média
- em caminho duplo
- fundo
- background-image
- backup
- backups
- baseado
- Porque
- antes
- abaixo
- Melhor
- Chantagem
- Bloquear
- fronteira
- Inferior
- Break
- escritório
- negócio
- negócios
- compradores
- chamada
- Pode obter
- Cuidado
- casas
- Centralização de
- certamente
- chance
- escolha
- clientes
- Fechar
- cor
- comercial
- comunicar
- Empresas
- computadores
- Contato
- considerado
- ao controle
- coordenação
- núcleo
- países
- cobrir
- crio
- Criar
- Crime
- Criminal
- Os criminosos
- crítico
- Infraestrutura crítica
- criptografia
- cura
- Atual
- cibercrime
- CIBERCRIMINAL
- cibercriminosos
- Cíber segurança
- teia escura
- dados,
- dia
- dias
- Demanda
- demandas
- Departamento
- Departamento de Justiça
- Departamento de Justiça (DoJ)
- Dependendo
- Design
- destruir
- Detecção
- Diretor
- Ecrã
- Rompimento
- Não faz
- fazer
- DoJ
- dólares
- down
- droga
- cada
- economia
- educar
- eficiente
- Else's
- colaboradores
- aplicação
- suficiente
- Europa
- Mesmo
- em constante mudança
- tudo
- experiência
- extorsão
- extrato
- feira
- FAME
- fantástico
- fbi
- Federal
- Departamento Federal de Investigação
- Figura
- figuras
- Envie o
- Arquivos
- final
- fase final
- Finalmente
- financeiro
- Encontre
- descoberta
- empresas
- caber
- falha
- Gratuito
- da
- congelado
- cheio
- jogo
- Gangue
- Gangs
- Geral
- geralmente
- Alemão
- Alemanha
- ter
- obtendo
- OFERTE
- Go
- meta
- Grupo
- Do grupo
- hackeado
- acontecer
- acontece
- feliz
- ter
- ouviu
- altura
- ajudar
- oculto
- Alta
- Colméia
- segurar
- esperando
- hospitais
- hospedeiro
- hospedado
- pairar
- Como funciona o dobrador de carta de canal
- Como Negociar
- Contudo
- HTML
- HTTPS
- enorme
- Caça
- identificado
- identificar
- identidades
- Identidade
- importante
- in
- incidente
- resposta a incidentes
- Incluindo
- Individual
- Infraestrutura
- do estado inicial,
- insights
- investigação
- Investigadores
- envolver
- IT
- Julho
- Justiça
- Afiado
- Guarda
- Chave
- chaves
- Criança
- Saber
- Conhecimento
- conhecido
- grande
- largamente
- Sobrenome
- Escritórios de
- aplicação da lei
- vazar
- Deixar
- vida
- pequeno
- localizado
- localização
- locais
- lockout
- Baixo
- sorte
- a Principal
- FAZ
- Fazendo
- gerenciados
- muitos
- Margem
- max-width
- significa
- a medida
- Membros
- apenas
- poder
- milhão
- Milhão de dolares
- modelo
- EQUIPAMENTOS
- momento
- dinheiro
- mês
- mais
- a maioria
- motivados
- mr
- Segurança nua
- nome
- Nacional
- você merece...
- Nederland
- rede
- Rede de Segurança
- redes
- Novo
- normal
- notavelmente
- notório
- oferecido
- Velho
- ONE
- online
- Operações
- operadores
- ordem
- Organizações
- Outros
- de outra forma
- próprio
- pago
- parte
- particular
- Parceiros
- Senha
- senhas
- caminho
- Pagar
- pagar
- pagamento
- pagamentos
- pessoas
- possivelmente
- fase
- plano
- platão
- Inteligência de Dados Platão
- PlatãoData
- ponto
- pontos
- Police
- posição
- possível
- POSTAGENS
- potencial
- imprensa
- Comunicados à CMVM
- impedindo
- Prevenção
- provavelmente
- processo
- Programação
- Programas
- colocar
- rapidamente
- faixas
- Rampa
- ransomware
- Ataques de Ransomware
- RARO
- razão
- Recuperar
- recuperação
- reduzir
- liberar
- Relatórios
- Responder
- resposta
- retorno
- revelar
- revelando
- receita
- Reviver
- uma conta de despesas robusta
- Execute
- corrida
- seguro
- seguramente
- mesmo
- Escola
- Escolas
- seguro
- assegurando
- segurança
- parece
- apreendidos
- Servidores
- Sessão
- vários
- Proteger
- Baixo
- Encerre
- lado
- simplesmente
- desde
- SIX
- Seis meses
- So
- sólido
- alguns
- algo
- falando
- Ressentimento
- primavera
- fica
- começo
- começado
- ficar
- Dê um basta
- transmitir canais
- estresse
- bem sucedido
- tal
- súbito
- cercado
- SVG
- Tire
- negociações
- visadas
- tecnologia
- técnicas
- temporário
- A
- Países Baixos
- o mundo
- deles
- si mesmos
- coisas
- ameaça
- três
- tempo
- para
- hoje
- ferramenta
- ferramentas
- topo
- Total
- tráfego
- transição
- transparente
- tratar
- verdadeiro
- Virado
- tipicamente
- para
- desdobramento
- unidade
- soltar
- destravar
- URL
- us
- Departamento de Justiça dos EUA
- usar
- usuários
- geralmente
- Grande
- viável
- Vítima
- vítimas
- maneiras
- web
- Tráfego na Web
- sites
- O Quê
- se
- qual
- enquanto
- QUEM
- largamente
- generalizada
- precisarão
- Boa vontade
- sem
- mundo
- preocupado
- escritor
- Vocês
- investimentos
- você mesmo
- zefirnet
![S3 Ep104: Os invasores de ransomware hospitalar devem ficar presos para o resto da vida? [Áudio + Texto] Inteligência de dados PlatoBlockchain. Pesquisa vertical. Ai.](https://platoblockchain.com/wp-content/uploads/2022/10/s3-ep104-cover-1200-360x188.png "S3 Ep104: Os invasores de ransomware hospitalares devem ser presos por toda a vida? [Áudio + Texto]")
