FBI, Hive fidye yazılımı sunucularının sonunda kapandığını söylüyor

Altı ay önce, göre ABD Adalet Bakanlığı'na (DOJ), Federal Soruşturma Bürosu (FBI), Hive fidye yazılımı çetesine sızdı ve dosyaları karıştırılan kurbanlar için şifre çözme anahtarlarını "geri çalmaya" başladı.

Neredeyse kesinlikle ve ne yazık ki farkında olduğunuz gibi, bugünlerde fidye yazılımı saldırıları tipik olarak iki ilişkili siber suçlu grubunu içeriyor.

Bu gruplar genellikle birbirlerini yalnızca takma adlarıyla "tanırlar" ve kaçınmak için anonimlik araçlarını kullanarak yalnızca çevrimiçi olarak "buluşurlar". aslında birbirlerinin gerçek hayattaki kimliklerini ve konumlarını bilmek (veya tesadüfen veya kasıtlı olarak ifşa etmek).

Çekirdek çete üyeleri, hasar verildikten sonra kendilerine sakladıkları bir erişim anahtarını kullanarak tüm önemli dosyalarınızı karıştıran (veya erişimi engelleyen) kötü amaçlı programlar oluşturarak büyük ölçüde arka planda kalır.

Ayrıca, kurbanların bu erişim anahtarları karşılığında şantaj parası ödemeye gittikleri, böylece donmuş bilgisayarlarının kilidini açmalarına ve şirketlerini yeniden çalıştırmalarına olanak tanıyan bir veya daha fazla darkweb "ödeme sayfası" çalıştırıyorlar.

Hizmet Olarak Suç Yazılımı

Bu çekirdek grup, çekirdek çetenin "saldırı programlarını" mümkün olduğu kadar geniş ve derin bir şekilde yerleştirmek için diğer insanların ağlarına giren suç ortakları olan, muhtemelen büyük ve sürekli değişen bir "bağlı kişiler" grubu tarafından çevrelenmiştir.

Ödenen toplam şantajın %80'i kadar olabilecek bir “komisyon ücreti” ile motive edilen amaçları, bir işi öylesine yaygın ve ani bir kesintiye uğratmaktır ki, sadece göz yaşartıcı bir haraç ödemesi talep etmekle kalmayıp, aynı zamanda kurbanı ödemek dışında çok az seçenek bırakmak.

Bu düzenleme genellikle olarak bilinir RAAS or CaaSiçin kısa fidye (Ya da Suç amaçlı) Bir hizmet olarak, siber suçlu yeraltı dünyasının birçok meşru işletme tarafından kullanılan bağlı kuruluş veya franchise modelini kopyalamaktan mutlu olduğunu ironik bir şekilde hatırlatan bir isim.

Ödemeden kurtarma

Ağ çapında başarılı bir dosya kilitleme saldırısından sonra kurbanların para ödemeden işlerini tekrar rayına oturtabilmelerinin üç ana yolu vardır:

• Sağlam ve verimli bir kurtarma planına sahip olun. Genel olarak konuşursak, bu yalnızca yedekleme yapmak için birinci sınıf bir sürece sahip olmak değil, aynı zamanda her şeyin en az bir yedek kopyasını fidye yazılımı ortaklarından nasıl koruyacağınızı bilmek anlamına gelir (çevrimiçi yedeklerinizi serbest bırakmadan önce bulup yok etmekten daha iyi bir şey istemezler). saldırılarının son aşaması). Ayrıca, bu yedekleri güvenilir ve yeterince hızlı bir şekilde nasıl geri yükleyeceğinizi de pratik etmiş olmanız gerekir ki bunu yapmak, zaten ödeme yapmanın geçerli bir alternatifidir.
• Saldırganlar tarafından kullanılan dosya kilitleme işleminde bir kusur bulun. Genellikle, fidye yazılımı dolandırıcıları, dosyalarınızı, web trafiğinizi veya kendi yedeklemelerinizi korurken kullanabileceğiniz türden güvenli şifrelemeyle şifreleyerek "kilitler". Bununla birlikte, ara sıra çekirdek ekip, şifre çözmeyi "kırmak" ve ödeme yapmadan kurtarmak için ücretsiz bir araç kullanmanıza izin verebilecek bir veya daha fazla programlama hatası yapar. Bununla birlikte, iyileşmeye giden bu yolun tasarımdan değil, şanstan kaynaklandığını unutmayın.
• Gerçek kurtarma parolalarını veya anahtarlarını başka bir şekilde ele geçirin. Bu nadir olmakla birlikte, birkaç şekilde olabilir, örneğin: çete içinde bir vicdan azabı veya kin patlamasıyla anahtarları sızdıracak bir dönek belirlemek; dolandırıcıların kendi gizli sunucularından anahtarları çıkarmak için bir karşı saldırıya izin veren bir ağ güvenliği hatası bulmak; veya çeteye sızmak ve suçluların ağındaki gerekli verilere gizli erişim elde etmek.

Bunlardan sonuncusu, sızma, DOJ'un söylediği şey yapabildim Temmuz 2022'den bu yana en azından bazı Hive kurbanları için, görünüşe göre sadece altı ayda 130'den fazla bireysel saldırıyla ilgili olarak toplam 300 milyon doları aşan kısa devre şantaj talepleri.

130 milyon dolarlık rakamın saldırganların ilk taleplerine dayandığını varsayıyoruz; fidye yazılımı dolandırıcıları bazen ödemeleri düşürmeyi kabul eder ve hiçbir şey almamaktansa bir şey almayı tercih eder, ancak sunulan "indirimler" çoğu zaman ödemeleri yalnızca karşılanamayacak kadar yüksek olandan göz yaşartıcı derecede yüksek olanlara indiriyor gibi görünmektedir. Yukarıdaki rakamlara dayalı olarak ortalama ortalama talep 130 milyon/300$ veya kurban başına 450,000$'a yakındır.

Hastaneler adil hedefler olarak kabul edildi

DOJ'un işaret ettiği gibi, genel olarak birçok fidye yazılımı çetesi ve özel olarak Hive ekibi, tüm ağları şantaj için adil bir oyun olarak görüyor ve okullar ve hastaneler gibi kamu tarafından finanse edilen kuruluşlara karşı kullandıkları aynı güçle saldırıyor. en zengin ticari şirketler:

[T]he Hive fidye yazılımı grubu […] dünya çapında 1500'den fazla ülkede hastaneler, okul bölgeleri, finans firmaları ve kritik altyapı dahil 80'den fazla kurbanı hedef aldı.

Ne yazık ki, modern bir siber suç çetesine sızmak size çetenin TTP'leri hakkında harika bilgiler verebilir (araçlar, teknikler ve prosedürler) ve - bu durumda olduğu gibi - göz yaşartıcı şantaj taleplerinin dayandığı şantaj sürecini alt üst ederek operasyonlarını sekteye uğratma şansı verir...

…bir çete yöneticisinin suçluların karanlık web tabanlı BT altyapısına ait parolasını bilmek bile genellikle size bu altyapının nerede olduğunu söylemez.

Çift yönlü sözde anonimlik

Karanlık ağın harika/korkunç yönlerinden biri (neden kullandığınıza ve hangi tarafta olduğunuza bağlı olarak), özellikle de Tor (için kısa Soğan yönlendiricisi) günümüzün fidye yazılımı suçluları tarafından geniş çapta tercih edilen ağ, onun çift yönlü sözde anonimliği diyebileceğiniz şeydir.

Darkweb, yalnızca üzerinde barındırılan sunuculara bağlanan kullanıcıların kimliğini ve konumunu korumakla kalmaz, aynı zamanda sunucuların konumunu da ziyaret eden istemcilerden gizler.

Sunucu (en azından çoğunlukla) oturum açtığınızda kim olduğunuzu bilmez, bu da siber suç ortakları ve müstakbel darkweb uyuşturucu alıcıları gibi müşterileri cezbeden şeydir; çekirdek çete operatörleri yakalansa bile güvenli bir şekilde kesip kaçabilir.

Benzer şekilde, haydut sunucu operatörleri, müşterileri, bağlı kuruluşları veya kendi sistem yöneticileri yakalansa, dönüştürülse veya kanun yaptırımı tarafından hacklense bile çekirdek çete üyelerinin kim olduğunu veya nerede olduklarını açıklayamayacak olmaları gerçeğinden etkilenirler. kötü amaçlı çevrimiçi etkinliklerine ev sahipliği yapar.

Sonunda yayından kaldırma

Görünüşe göre dünkü DOJ basın açıklamasının nedeni, FBI müfettişlerinin hem Almanya hem de Hollanda'daki kolluk kuvvetlerinin yardımıyla Hive çetesinin kullandığı karanlık web sunucularını tespit edip bulmaları ve ele geçirmeleri:

Son olarak, departman bugün[2023-01-26] Alman kolluk kuvvetleri (Alman Federal Kriminal Polisi ve Reutlingen Polis Merkezi-CID Esslingen) ve Hollanda Ulusal Yüksek Teknoloji Suç Birimi ile koordinasyon içinde Hive'ın üyeleriyle iletişim kurmak için kullandığı sunucular ve web siteleri, Hive'ın kurbanlara saldırma ve şantaj yapma yeteneğini bozar.

Ne yapalım?

Bu makaleyi, FBI'ı ve onun Avrupa'daki yasa uygulama ortaklarını bu kadar ileri gittikleri için alkışlamak için yazdık…

...ortalama yarım milyon dolarlık şantaj talepleri ve herkesin peşine düştükleri kadar çabuk hastaneleri soymaya istekli olan bu kötü şöhretli fidye yazılımı ekibinin mevcut altyapısını araştırmak, sızmak, keşif yapmak ve sonunda patlatmak için saldırmak başkasının ağı.

Ne yazık ki, muhtemelen şu klişeyi zaten duymuşsunuzdur: siber suç boşluktan nefret ederve bu ne yazık ki çevrimiçi suçluluğun diğer tüm yönleri için olduğu kadar fidye yazılımı operatörleri için de geçerli.

Çetenin çekirdek üyeleri tutuklanmazlarsa, bir süre gözlerden uzak kalabilirler ve ardından yeniden erişilebilen yeni sunucularla yeni bir adla ortaya çıkabilirler (veya belki de kasıtlı ve kibirli bir şekilde eski "markalarını" yeniden canlandırabilirler). darkweb ama yeni ve artık bilinmeyen bir yerde.

Ya da diğer fidye yazılımı çeteleri, kazançlı bir şekilde yasadışı gelir akışlarından aniden mahrum bırakılan bazı "bağlı kuruluşları" çekmeyi umarak operasyonlarını hızlandıracak.

Her iki durumda da, bunun gibi yayından kaldırmalar, acilen ihtiyacımız olan, gerçekleştiğinde sevinmemiz gereken bir şeydir, ancak bunların bir bütün olarak siber suça geçici bir darbe indirmesinden daha fazlasını yapması olası değildir.

Fidye yazılımı dolandırıcılarının ekonomimizden emdiği para miktarını azaltmak için siber suçları yalnızca iyileştirmeyi değil, önlemeyi hedeflememiz gerekiyor.

Potansiyel fidye yazılımı saldırılarını başlamadan önce veya ortaya çıkarken veya hatta dolandırıcıların ağınızda son dosya karıştırma sürecini serbest bırakmaya çalıştıkları son anda tespit etmek, bunlara yanıt vermek ve böylece önlemek her zaman daha iyidir. gerçek bir saldırıdan kurtulmaya çalışmanın stresi.

Karate Kid ününden Bay Miagi olarak, bilerek dikkat çekti, "Yumruktan kaçınmanın en iyi yolu - orada olmak yok."

---

ŞİMDİ DİNLEYİN: BİR SİBER SUÇ SAVAŞÇININ HAYATINDA BİR GÜN

Paul Ducklin konuşuyor Peter Mackenzie, Sophos Olay Müdahale Direktörü, sizi eşit ölçüde korkutacak, eğlendirecek ve eğitecek bir siber güvenlik oturumunda.

Fidye yazılımı dolandırıcılarını onlar sizi durdurmadan nasıl durduracağınızı öğrenin! (Tam dolu kopya mevcut.)

---

Siber güvenlik tehdidine yanıt vermek için yeterli zamanınız veya uzmanlığınız mı var? Siber güvenliğin sonunda dikkatinizi yapmanız gereken diğer şeylerden uzaklaştıracağından mı endişeleniyorsunuz? Gerçekten yardım etmeye istekli çalışanlardan gelen güvenlik raporlarına nasıl yanıt vereceğinizden emin değil misiniz?

Hakkında daha fazla bilgi alın Sophos Tarafından Yönetilen Tespit ve Müdahale:
24/7 tehdit avı, tespiti ve müdahalesi  ▶

---

• SEO Destekli İçerik ve Halkla İlişkiler Dağıtımı. Bugün Gücünüzü Artırın.
• Plato blok zinciri. Web3 Metaverse Zekası. Bilgi Güçlendirildi. Buradan Erişin.
• Kaynak: https://nakedsecurity.sophos.com/2023/01/27/hive-ransomware-servers-shut-down-at-last-says-fbi/