Как и большинство операторов, мы на самом деле наслаждался новостями прошлого месяца о том, что международные правоохранительные органы разрушают LockBit, один из самые прибыльные банды вымогателей.
За последние 10 лет программы-вымогатели стали глобальной проблемой, поскольку современные банды программ-вымогателей фактически действуют как сложные предприятия. За последний год или около того многочисленные правительства и частные компании сотрудничали, чтобы разрушить эти банды. Координирующие организации, участвующие в Операция Кронос использовал собственную инфраструктуру LockBit для публикации подробностей о деятельности банды. Например, Сайт утечки LockBit использовался для предания гласности: аресты в нескольких странах, доступные ключи расшифровки, информация об участниках и так далее. Эта тактика не только ставит LockBit в неловкое положение — она также является эффективным предупреждением для филиалов банды и других банд, занимающихся вымогательством.
Снимок экрана сайта утечки LockBit после удаления, на котором подведены итоги действий правоохранительных органов. (Источник: Аарон Уолтон.)
Эта деятельность против LockBit представляет собой большую победу, но программы-вымогатели продолжают оставаться серьезной проблемой. даже из LockBit. Чтобы лучше бороться с программами-вымогателями, сообществу кибербезопасности необходимо учесть некоторые извлеченные уроки.
Никогда не доверяйте преступникам
По данным Национального агентства по борьбе с преступностью Великобритании (NCA), были случаи, когда жертва платила LockBit, но банда не удаляла данные со своих серверов, как обещала.
Конечно, в этом нет ничего необычного. Многие банды программ-вымогателей не делают того, что обещают, будь то предоставление метода расшифровки файлов или продолжение хранения украденных данных (вместо их удаления).
Это подчеркивает один из главных рисков выплаты выкупа: жертва доверяет преступнику, что он выполнит свою часть сделки. Сообщение о том, что LockBit не удалил данные, как было обещано, нанесло серьезный ущерб репутации группы. Группам программ-вымогателей приходится поддерживать видимость надежности — в противном случае у их жертв не будет причин им платить.
Для организаций важно подготовиться к этим событиям и иметь планы. Организации никогда не должны предполагать, что расшифровка возможна. Вместо этого им следует уделить приоритетное внимание созданию тщательных планов и процедур аварийного восстановления на случай, если их данные будут скомпрометированы.
Делитесь информацией, чтобы установить связи
Правоохранительные организации, такие как ФБР США, Агентство кибербезопасности и безопасности инфраструктуры (CISA) и Секретная служба, всегда интересуются тактикой, инструментами, платежами и методами связи злоумышленников. Эти данные могут помочь им идентифицировать других жертв, на которых нацелен тот же злоумышленник или злоумышленник, использующий ту же тактику или инструменты. Собранная информация включает информацию о жертвах, финансовых потерях, тактиках атак, инструментах, методах связи и требованиях к оплате, что, в свою очередь, помогает правоохранительным органам лучше понимать группы программ-вымогателей. Эта информация также используется при выдвижении обвинений против преступников, когда их поймают. Если правоохранительные органы смогут увидеть закономерности в используемых методах, это позволит получить более полную картину преступной организации.
В случае с программой-вымогателем как услуга (RaaS) агентства используют двойную атаку: нарушают работу как административного персонала банды, так и ее филиалов. Административный персонал обычно отвечает за управление местом утечки данных, а филиалы отвечают за развертывание программ-вымогателей и сетей шифрования. Административный персонал помогает преступникам и, без их устранения, будет продолжать помогать другим преступникам. Филиалы будут работать на другие банды, занимающиеся вымогательством, если административный персонал будет нарушен.
Филиалы используют инфраструктуру, которую они приобрели или к которой получили незаконный доступ. Информация об этой инфраструктуре раскрывается через их инструменты, сетевые подключения и поведение. Подробная информация об администраторах раскрывается в процессе выкупа: для того, чтобы процесс выкупа состоялся, администратор предоставляет способ связи и способ оплаты.
Хотя эта значимость может не показаться сразу ценной для организации, правоохранительные органы и исследователи могут использовать эти детали, чтобы больше узнать о стоящих за ними преступниках. В случае с LockBit правоохранительные органы смогли использовать детали прошлых инцидентов, чтобы спланировать нарушение работы инфраструктуры группы и некоторых ее филиалов. Без этой информации, собранной с помощью жертв атак и связанных с ними агентств, операция «Кронос», вероятно, была бы невозможна.
Важно отметить, что организациям не обязательно быть жертвами, чтобы помочь. Правительства стремятся работать с частными организациями. В США организации могут присоединиться к борьбе с программами-вымогателями, сотрудничая с CISA, которая сформировала Объединенную группу по киберзащите (JCDC) для построения партнерских отношений по всему миру для обмена важной и своевременной информацией. JCDC способствует двустороннему обмену информацией между правительственными учреждениями и общественными организациями.
Такое сотрудничество помогает CISA и организациям оставаться в курсе тенденций и выявлять инфраструктуру злоумышленников. Как показывает устранение LockBit, этот тип сотрудничества и обмена информацией может дать правоохранительным органам решающую поддержку даже против самых мощных групп злоумышленников.
Выступите единым фронтом против программ-вымогателей
Мы можем надеяться, что другие банды, занимающиеся вымогательством, воспримут действия против LockBit как предупреждение. Но тем временем давайте продолжим усердно обеспечивать безопасность и мониторинг наших собственных сетей, делиться информацией и сотрудничать, потому что угроза программ-вымогателей еще не миновала. Банды программ-вымогателей выигрывают, когда их жертвы считают, что они изолированы, но когда организации и правоохранительные органы работают рука об руку, обмениваясь информацией, вместе они могут оставаться на шаг впереди своих противников.
- SEO-контент и PR-распределение. Получите усиление сегодня.
- PlatoData.Network Вертикальный генеративный ИИ. Расширьте возможности себя. Доступ здесь.
- ПлатонАйСтрим. Интеллект Web3. Расширение знаний. Доступ здесь.
- ПлатонЭСГ. Углерод, чистые технологии, Энергия, Окружающая среда, Солнечная, Управление отходами. Доступ здесь.
- ПлатонЗдоровье. Биотехнологии и клинические исследования. Доступ здесь.
- Источник: https://www.darkreading.com/threat-intelligence/lessons-from-the-lockbit-takedown
- :имеет
- :является
- :нет
- :куда
- $UP
- 10
- 8
- a
- Аарон
- в состоянии
- О нас
- Доступ
- Действие
- активно
- деятельность
- актеры
- административный
- администраторы
- филиалы
- После
- против
- агентствах
- агентство
- впереди
- причислены
- всегда
- an
- и
- и инфраструктура
- появиться
- МЫ
- аресты
- AS
- предполагать
- атаковать
- нападающий
- доступен
- BE
- , так как:
- становиться
- было
- поведения
- за
- не являетесь
- верить
- польза
- Лучшая
- между
- двунаправленный
- большой
- изоферменты печени
- строить
- бизнес
- но
- by
- CAN
- случаев
- пойманный
- chainalysis
- расходы
- сотрудничало
- сотрудничество
- сотрудничество
- совместный
- Связь
- методы связи
- сообщество
- Компании
- полный
- комплекс
- Ослабленный
- Коммутация
- Рассматривать
- продолжать
- продолжается
- продолжающийся
- координирующий
- страны
- "Курс"
- создание
- Преступление
- Криминальное
- Преступники
- критической
- Кронос
- кибер-
- Информационная безопасность
- данным
- утечка данных
- Защита
- запросы
- демонстрирует
- развертывание
- подробнее
- DID
- срывать
- нарушена
- Нарушение
- do
- Безразлично
- Дон
- рисовать
- нетерпеливый
- Эффективный
- фактически
- включить
- позволяет
- конец
- принуждение
- Даже
- События
- пример
- подвергаться
- облегчает
- FAIL
- ФБР
- бороться
- Файлы
- финансовый
- Что касается
- сформированный
- от
- передний
- шайка
- Банды
- собранный
- в общем
- Дайте
- Глобальный
- ГЛОБАЛЬНО
- Правительство
- государственные учреждения
- Правительства
- группы
- Группы
- рука
- происходить
- Есть
- помощь
- помогает
- основной момент
- держать
- надежды
- HTTPS
- определения
- if
- незаконно
- изображение
- немедленно
- важную
- in
- включают
- информация
- Инфраструктура
- понимание
- вместо
- Intel
- заинтересованный
- Мультиязычность
- вовлеченный
- мобильной
- изолированный
- IT
- ЕГО
- присоединиться
- совместная
- всего
- ключи
- Фамилия
- закон
- правоохранительной
- утечка
- узнали
- Уроки
- Уроки, извлеченные
- позволять
- Кредитное плечо
- Вероятно
- потери
- поддерживать
- управления
- многих
- Май..
- то время
- метод
- методы
- Модерн
- Мониторинг
- Месяц
- БОЛЕЕ
- самых
- с разными
- национальный
- NCA
- Необходимость
- потребности
- сеть
- сетей
- никогда
- Новости
- нет
- в своих размышлениях
- of
- on
- ONE
- операционный
- операция
- Операционный отдел
- Операторы
- or
- заказ
- организация
- организации
- Другое
- в противном случае
- наши
- внешний
- за
- собственный
- выплачен
- партнерства
- мимо
- паттеранами
- ОПЛАТИТЬ
- платить
- оплата
- Способ оплаты
- платежи
- выполнены
- картина
- Часть
- план
- Планы
- Платон
- Платон Интеллектуальные данные
- ПлатонДанные
- возможное
- мощный
- Подготовить
- представить
- прессование
- Расставляйте приоритеты
- частная
- Частные компании
- Проблема
- Процедуры
- процесс
- выгодную
- обещанный
- приводит
- обеспечение
- что такое варган?
- публиковать
- купленный
- Выкуп
- вымогателей
- скорее
- RE
- причина
- удаление
- представляет
- репутация
- исследователи
- ответственный
- выявление
- Показывает
- рисках,
- s
- то же
- сообщили
- Secret
- Секретная служба
- обеспечение
- безопасность
- посмотреть
- служить
- Серверы
- обслуживание
- сильно
- Поделиться
- Поделиться информацией
- разделение
- должен
- значение
- значительный
- сайте
- So
- некоторые
- Источник
- Персонал
- Области
- оставаться
- Шаг
- украли
- магазин
- такие
- тактика
- взять
- целевое
- снижения вреда
- чем
- который
- Ассоциация
- информация
- сустав
- Великобритании
- мир
- их
- Их
- Там.
- Эти
- они
- этой
- тщательный
- угроза
- Через
- своевременно
- в
- вместе
- инструменты
- топ
- Тенденции
- Доверие
- доверие
- кредитоспособность
- ОЧЕРЕДЬ
- напишите
- Uk
- понимать
- Объединенный
- США
- us
- использование
- используемый
- через
- ценный
- Жертва
- жертвы
- предупреждение
- законопроект
- we
- были
- Что
- когда
- будь то
- который
- в то время как
- будете
- выиграть
- без
- Работа
- Мир
- Wouldn
- год
- лет
- зефирнет