Серверы программ-вымогателей Hive наконец-то закрылись, сообщает ФБР

Серверы программ-вымогателей Hive наконец-то закрылись, сообщает ФБР

Отметка времени: 27 января 2023 г., 12:58
by Голый писатель по безопасности

Шесть месяцев назад, согласно Министерству юстиции США (DOJ) Федеральное бюро расследований (ФБР) проникло в банду вымогателей Hive и начало «красть» ключи дешифрования для жертв, чьи файлы были зашифрованы.

Как вы почти наверняка и, к сожалению, знаете, атаки программ-вымогателей в наши дни обычно связаны с двумя связанными группами киберпреступников.

Эти группы часто «знают» друг друга только по прозвищам, а «встречаются» только в сети, используя инструменты анонимности, чтобы избежать на самом деле зная (или раскрывая, случайно или намеренно) личности и местонахождение друг друга в реальной жизни.

Члены основной банды остаются в основном в тени, создавая вредоносные программы, которые шифруют (или иным образом блокируют доступ) ко всем вашим важным файлам, используя ключ доступа, который они сохраняют при себе после нанесения ущерба.

Они также запускают одну или несколько «платежных страниц» даркнета, где жертвы, условно говоря, платят шантажом деньги в обмен на эти ключи доступа, что позволяет им разблокировать свои замороженные компьютеры и снова запустить свои компании.

Криминальное ПО как услуга

Эта основная группа окружена, возможно, большой и постоянно меняющейся группой «аффилированных лиц» — соучастников преступления, которые проникают в чужие сети, чтобы как можно шире и глубже внедрить «программы нападения» основной банды.

Их цель, мотивированная «комиссионным вознаграждением», которое может составлять до 80% от общей суммы выплаченного шантажа, состоит в том, чтобы создать такой масштабный и внезапный сбой в бизнесе, что они могут не только потребовать заоблачную плату за вымогательство, но и чтобы не оставить жертве иного выбора, кроме как заплатить.

Эта договоренность обычно известна как РАСХН or CaaS, Короче для вымогателей (или мошенническое) а-а-службы, имя, которое служит ироничным напоминанием о том, что преступный мир киберпреступников счастлив копировать партнерскую или франчайзинговую модель, используемую многими законными предприятиями.

Восстановление без оплаты

Есть три основных способа, с помощью которых жертвы могут вернуть свой бизнес на рельсы, не заплатив при этом после успешной сетевой атаки с блокировкой файлов:

  • Разработайте надежный и эффективный план восстановления. Вообще говоря, это означает не только наличие первоклассного процесса создания резервных копий, но и знание того, как сохранить хотя бы одну резервную копию всего в безопасности от партнеров-вымогателей (они не любят ничего лучше, чем находить и уничтожать ваши онлайн-резервные копии, прежде чем выпустить их). завершающая фаза атаки). Вы также должны практиковаться в том, как надежно и достаточно быстро восстанавливать эти резервные копии, чтобы это было реальной альтернативой простой оплате в любом случае.
  • Найдите уязвимость в используемом злоумышленниками процессе блокировки файлов. Как правило, мошенники-вымогатели «блокируют» ваши файлы, шифруя их с помощью той же безопасной криптографии, которую вы могли бы использовать сами для защиты своего веб-трафика или собственных резервных копий. Однако иногда основная банда совершает одну или несколько программных ошибок, которые могут позволить вам использовать бесплатный инструмент для «взлома» расшифровки и восстановления без оплаты. Имейте в виду, однако, что этот путь к выздоровлению происходит по счастливой случайности, а не по замыслу.
  • Получите фактические пароли или ключи восстановления каким-либо другим способом. Хотя это случается редко, это может произойти несколькими способами, например: выявление перебежчика внутри банды, который сливает ключи в порыве совести или в порыве злости; обнаружение ошибки в сетевой безопасности, позволяющей контратаке извлечь ключи из собственных скрытых серверов мошенников; или внедриться в банду и получить тайный доступ к необходимым данным в сети преступников.

Последний из них, инфильтрация, это то, что Министерство юстиции говорит, что это смог сделать по крайней мере, для некоторых жертв Hive с июля 2022 года, очевидно, шантажирует требования на общую сумму более 130 миллионов долларов, связанные с более чем 300 отдельными атаками, всего за шесть месяцев.

Мы предполагаем, что сумма в 130 миллионов долларов основана на первоначальных требованиях злоумышленников; мошенники-вымогатели иногда в конечном итоге соглашаются на более низкие платежи, предпочитая брать что-то, а не ничего, хотя предлагаемые «скидки» часто сокращают платежи только от непозволительно огромных до умопомрачительно огромных. Средний средний спрос, основанный на приведенных выше цифрах, составляет 130 миллионов долларов на 300 человек, или около 450,000 XNUMX долларов на одну жертву.

Больницы считаются справедливыми целями

Как указывает Министерство юстиции, многие банды вымогателей в целом, и команда Hive в частности, рассматривают любые и все сети как честную игру для шантажа, атакуя финансируемые государством организации, такие как школы и больницы, с той же энергией, что и против злоумышленников. самые богатые коммерческие компании:

[T] группа вымогателей Hive […] нацелилась на более чем 1500 жертв в более чем 80 странах мира, включая больницы, школьные округа, финансовые фирмы и объекты критической инфраструктуры.

К сожалению, даже несмотря на то, что проникновение в современную банду киберпреступников может дать вам фантастическое представление о TTP этой банды (инструменты, методы и процедуры), и — как в этом случае — дать вам шанс сорвать их операции, подорвав процесс шантажа, на котором основаны эти вызывающие слезы требования вымогательства…

…знание даже пароля администратора банды к ИТ-инфраструктуре преступников, основанной на даркнете, как правило, не говорит вам, где находится эта инфраструктура.

Двунаправленная псевдоанонимность

Один из замечательных/ужасных аспектов даркнета (в зависимости от того, почему вы его используете и на чьей вы стороне), а именно Tor (Короче для луковый маршрутизатор), которую сегодня широко используют преступники, занимающиеся программами-вымогателями, можно назвать ее двунаправленной псевдоанонимностью.

Даркнет не только скрывает личность и местонахождение пользователей, которые подключаются к размещенным на нем серверам, но также скрывает местонахождение самих серверов от посещающих их клиентов.

Сервер (по крайней мере, по большей части) не знает, кто вы, когда вы входите в систему, что и привлекает клиентов, таких как партнеры по киберпреступности и потенциальные покупатели наркотиков в даркнете, потому что они склонны чувствовать, что они будут способный безопасно сбежать, даже если основные операторы банды будут арестованы.

Точно так же мошеннических операторов серверов привлекает тот факт, что даже если их клиенты, аффилированные лица или собственные системные администраторы будут арестованы, привлечены или взломаны правоохранительными органами, они не смогут раскрыть, кто является основными членами банды или где они находятся. размещать свои вредоносные действия в Интернете.

Наконец-то снятие

Что ж, похоже, причина вчерашнего пресс-релиза Министерства юстиции заключается в том, что следователи ФБР с помощью правоохранительных органов Германии и Нидерландов теперь идентифицировали, обнаружили и изъяли серверы даркнета, которые использовала банда Улья:

Наконец, сегодня [2023-01-26] департамент объявил, что в сотрудничестве с правоохранительными органами Германии (федеральной уголовной полицией Германии и штаб-квартирой полиции Ройтлингена — CID Esslingen) и Национальным отделом по борьбе с преступлениями в сфере высоких технологий Нидерландов он захватил контроль над серверы и веб-сайты, которые Hive использует для связи со своими участниками, нарушая способность Hive атаковать и вымогать деньги у жертв.

Что делать?

Мы написали эту статью, чтобы поблагодарить ФБР и его партнеров из правоохранительных органов в Европе за то, что они зашли так далеко…

… расследование, проникновение, разведка и, наконец, нанесение ударов, чтобы разрушить текущую инфраструктуру этой печально известной команды вымогателей, с их требованиями шантажа в среднем на полмиллиона долларов и их готовностью уничтожать больницы так же легко, как они преследуют кого-либо чужая сеть.

К сожалению, вы, наверное, уже слышали клише о том, что киберпреступность не терпит пустоты, и это, к сожалению, верно как для операторов программ-вымогателей, так и для любого другого аспекта онлайн-преступности.

Если основные члены банды не будут арестованы, они могут просто затаиться на некоторое время, а затем всплыть под новым именем (или, возможно, даже намеренно и нагло возродить свой старый «бренд») с новыми серверами, снова доступными на darkweb, но в новом и теперь неизвестном месте.

Или другие банды вымогателей просто нарастят свои операции, надеясь привлечь некоторых из «аффилированных лиц», которые внезапно остались без своего прибыльного незаконного потока доходов.

В любом случае, такие удаления — это то, что нам срочно нужно, и мы должны радоваться, когда они происходят, но вряд ли они нанесут больше, чем временный удар по киберпреступности в целом.

Чтобы уменьшить количество денег, которые мошенники-вымогатели высасывают из нашей экономики, мы должны стремиться к предотвращению киберпреступлений, а не просто к их устранению.

Обнаружение, реагирование и, таким образом, предотвращение потенциальных атак программ-вымогателей до их начала, во время их развертывания или даже в самый последний момент, когда мошенники попытаются запустить окончательный процесс шифрования файлов в вашей сети, всегда лучше, чем стресс от попытки оправиться от фактического нападения.

Мистер Миаги, прославившийся каратэ Кид, не зря заметил, «Лучший способ избежать удара — не быть там».

ПОСЛУШАЙТЕ: ДЕНЬ ИЗ ЖИЗНИ БОРЦА С КИБЕРПРЕСТУПНОСТЬЮ

Пол Даклин разговаривает с Питер Маккензи, директор по реагированию на инциденты в Sophos, на сеансе по кибербезопасности, который в равной степени вас встревожит, развлечет и обучит.

Узнайте, как остановить мошенников-вымогателей, прежде чем они остановят вас! (Полный расшифровка доступный.)

Нажмите и перетащите звуковые волны ниже, чтобы перейти к любой точке. Вы также можете слушать прямо на Саундклауд.

Не хватает времени или опыта, чтобы позаботиться о реагировании на угрозы кибербезопасности? Беспокоитесь, что кибербезопасность в конечном итоге отвлечет вас от всех других вещей, которые вам нужно сделать? Не знаете, как реагировать на сообщения о безопасности от сотрудников, которые искренне хотят помочь?

Узнать больше о Управляемое обнаружение и реагирование Sophos:
Круглосуточный поиск угроз, обнаружение и реагирование  ▶

Серверы вируса-вымогателя Hive наконец отключились, сообщает ФБР PlatoBlockchain Data Intelligence. Вертикальный поиск. Ай.

Отметка времени:

Больше от Голая Безопасность