Hive ransomware-servere lukkede endelig ned, siger FBI

Hive ransomware-servere lukkede endelig ned, siger FBI

Tidsstempel: 27. januar 2023 12:58
Kildeknude: 1924152
by Nøgen sikkerhedsskribent

For seks måneder siden, ifølge til det amerikanske justitsministerium (DOJ), infiltrerede Federal Bureau of Investigation (FBI) Hive ransomware-banden og begyndte at "stjæle tilbage" dekrypteringsnøglerne til ofre, hvis filer var blevet forvrænget.

Som du næsten helt sikkert og desværre er klar over, involverer ransomware-angreb i disse dage typisk to associerede grupper af cyberkriminelle.

Disse grupper "kender" ofte kun hinanden ved kælenavne og "møder" kun online ved at bruge anonymitetsværktøjer for at undgå faktisk at kende (eller afsløre, enten ved et uheld eller design) hinandens virkelige identiteter og placeringer.

Kernebandemedlemmerne forbliver stort set i baggrunden og skaber ondsindede programmer, der forvrider (eller på anden måde blokerer adgangen til) alle dine vigtige filer, ved hjælp af en adgangsnøgle, som de holder for sig selv, efter at skaden er sket.

De kører også en eller flere darkweb "betalingssider", hvor ofre, løst sagt, går for at betale afpresningspenge til gengæld for disse adgangsnøgler, og dermed giver dem mulighed for at låse deres frosne computere op og få deres virksomheder i gang igen.

Crimeware-as-a-Service

Denne kernegruppe er omgivet af en muligvis stor og stadigt skiftende gruppe af “affiliates” – partnere i kriminalitet, der bryder ind i andres netværk for at implantere kernebandens “angrebsprogrammer” så bredt og dybt som muligt.

Deres mål, motiveret af et "kommissionsgebyr", der kan være så meget som 80 % af den samlede afpresning, er at skabe så udbredt og pludselig forstyrrelse af en virksomhed, at de ikke kun kan kræve en iøjnefaldende afpresningsbetaling, men også at efterlade offeret med lidt andet valg end at betale op.

Dette arrangement er generelt kendt som Raas or CaaS, forkortelse for ransomware (eller kriminalitet) som en tjeneste, et navn, der står som en ironisk påmindelse om, at den cyberkriminelle underverden gerne kopierer den affiliate- eller franchisemodel, der bruges af mange legitime virksomheder.

At komme sig uden at betale

Der er tre hovedmåder, hvorpå ofre kan få deres virksomheder tilbage på skinnerne uden at betale op efter et vellykket netværksdækkende fil-lockout-angreb:

  • Hav en robust og effektiv genopretningsplan. Generelt betyder det ikke kun at have en førsteklasses proces til at lave sikkerhedskopier, men også at vide, hvordan man holder mindst én sikkerhedskopi af alt sikkert fra ransomware-tilknyttede selskaber (de kan ikke lide noget bedre end at finde og ødelægge dine online backups, før de slipper løs den sidste fase af deres angreb). Du skal også have øvet dig i, hvordan du gendanner disse sikkerhedskopier pålideligt og hurtigt nok til, at det er et levedygtigt alternativ til blot at betale op alligevel.
  • Find en fejl i fillåsningsprocessen, der bruges af angriberne. Normalt "låser" ransomware-skurke dine filer ved at kryptere dem med den samme slags sikker kryptografi, som du måske selv bruger, når du sikrer din webtrafik eller dine egne sikkerhedskopier. Af og til laver kernebanden dog en eller flere programmeringsfejl, der kan give dig mulighed for at bruge et gratis værktøj til at "knække" dekrypteringen og genoprette uden at betale. Vær dog opmærksom på, at denne vej til bedring sker ved held, ikke ved design.
  • Få fat i de faktiske gendannelsesadgangskoder eller nøgler på en anden måde. Selvom dette er sjældent, er der flere måder, det kan ske på, såsom: at identificere en frakke inde i banden, der vil lække nøglerne i et anfald af samvittighed eller et udbrud af trods; finde en netværkssikkerhedsbommert, der tillader et modangreb at udtrække nøglerne fra skurkenes egne skjulte servere; eller infiltrere banden og få undercover-adgang til de nødvendige data i de kriminelles netværk.

Den sidste af disse, infiltration, er, hvad DOJ siger, det er været i stand til at gøre for i det mindste nogle Hive-ofre siden juli 2022, tilsyneladende kortsluttende afpresningskrav på i alt mere end $130 millioner dollars, relateret til mere end 300 individuelle angreb, på kun seks måneder.

Vi antager, at tallet 130 millioner dollars er baseret på angribernes oprindelige krav; Ransomware-skurke ender nogle gange med at gå med til lavere betalinger og foretrækker at tage noget frem for ingenting, selvom de tilbudte "rabatter" ofte ser ud til kun at reducere betalingerne fra uoverkommeligt store til iøjnefaldende enorme. Den gennemsnitlige gennemsnitlige efterspørgsel baseret på ovenstående tal er $130M/300, eller tæt på $450,000 pr. offer.

Hospitaler betragtede som rimelige mål

Som DOJ påpeger, behandler mange ransomware-bander i almindelighed, og Hive-besætningen i særdeleshed, ethvert netværk som et fair spil for afpresning, og angriber offentligt finansierede organisationer såsom skoler og hospitaler med samme kraft, som de bruger mod rigeste kommercielle virksomheder:

[T]he Hive ransomware group […] har rettet mod mere end 1500 ofre i over 80 lande rundt om i verden, inklusive hospitaler, skoledistrikter, finansielle virksomheder og kritisk infrastruktur.

Desværre, selvom infiltrering af en moderne cyberkriminalitetsbande kan give dig fantastisk indsigt i bandens TTP'er (værktøjer, teknikker og procedurer), og – som i dette tilfælde – giver dig en chance for at forstyrre deres operationer ved at undergrave den afpresningsproces, som disse iøjnefaldende afpresningskrav er baseret på...

…at kende selv en bandeadministrators adgangskode til de kriminelles darkweb-baserede it-infrastruktur fortæller dig generelt ikke, hvor den infrastruktur er baseret.

Tovejs pseudoanonymitet

Et af de store/forfærdelige aspekter af darkweb (afhængigt af hvorfor du bruger det, og hvilken side du er på), især Tor (forkortelse for løgruteren) netværk, der er bredt begunstiget af nutidens ransomware-kriminelle, er, hvad man kan kalde dets tovejs pseudoanonymitet.

Darkweb beskytter ikke kun identiteten og placeringen af ​​de brugere, der opretter forbindelse til servere, der er hostet på den, men skjuler også placeringen af ​​serverne selv for de klienter, der besøger.

Serveren (i det mindste for det meste) ved ikke, hvem du er, når du logger ind, hvilket er det, der tiltrækker kunder såsom cyberkriminalitets-tilknyttede selskaber og potentielle darkweb-stofkøbere, fordi de har en tendens til at føle, at de vil være i stand til at skære-og-løbe sikkert, selvom kernebandeoperatørerne bliver bustet.

På samme måde tiltrækkes useriøse serveroperatører af det faktum, at selvom deres klienter, tilknyttede selskaber eller egne systemadministratorer bliver busted, eller vendt eller hacket af retshåndhævere, vil de ikke være i stand til at afsløre, hvem de centrale bandemedlemmer er, eller hvor de vært for deres ondsindede onlineaktiviteter.

Endelig nedtagning

Nå, det ser ud til, at årsagen til gårsdagens DOJ-pressemeddelelse er, at FBI-efterforskere, med bistand fra retshåndhævelse i både Tyskland og Holland, nu har identificeret, lokaliseret og beslaglagt de darkweb-servere, som Hive-banden brugte:

Endelig meddelte afdelingen i dag[2023-01-26], at den i koordinering med tysk retshåndhævelse (det tyske føderale kriminalpoliti og Reutlingen politihovedkvarter-CID Esslingen) og den hollandske nationale højteknologiske kriminalitetsenhed har taget kontrol over servere og websteder, som Hive bruger til at kommunikere med sine medlemmer, hvilket forstyrrer Hives evne til at angribe og afpresse ofre.

Hvad skal jeg gøre?

Vi skrev denne artikel for at bifalde FBI og dets retshåndhævende partnere i Europa for at nå så langt...

…efterforsker, infiltrerer, rekognoscerer og til sidst slår til for at implodere den nuværende infrastruktur for dette berygtede ransomware-hold med deres gennemsnitlige afpresningskrav på en halv million dollars og deres vilje til at tage hospitaler ud lige så let, som de går efter nogen andres netværk.

Desværre har du sikkert allerede hørt klichéen cyberkriminalitet afskyr et vakuum, og det gælder desværre lige så meget for ransomware-operatører, som det er for ethvert andet aspekt af onlinekriminalitet.

Hvis kernebandemedlemmerne ikke bliver arresteret, kan de simpelthen ligge lavt i et stykke tid og så springe op under et nyt navn (eller måske endda bevidst og arrogant genoplive deres gamle "brand") med nye servere, der igen er tilgængelige på darkweb, men på et nyt og nu ukendt sted.

Eller andre ransomware-bander vil simpelthen skrue op for deres aktiviteter i håb om at tiltrække nogle af de "tilknyttede virksomheder", der pludselig blev efterladt uden deres lukrativt ulovlige indtægtsstrøm.

Uanset hvad, er nedtagninger som denne noget, vi har et presserende behov for, som vi skal juble, når de sker, men som næppe vil sætte mere end et midlertidigt indhug i cyberkriminalitet som helhed.

For at reducere mængden af ​​penge, som ransomware-skurke suger ud af vores økonomi, er vi nødt til at sigte mod forebyggelse af cyberkriminalitet, ikke blot at helbrede.

Det er altid bedre at opdage, reagere på og dermed forhindre potentielle ransomware-angreb, før de starter, eller mens de udfolder sig, eller endda i det allersidste øjeblik, hvor skurkene forsøger at udløse den sidste fil-scrambling-proces på tværs af dit netværk. stress ved at forsøge at komme sig efter et faktisk angreb.

Som hr. Miagi, af Karate Kid-berømmelse, bevidst bemærket, "Bedste måde at undgå punch - nej vær der."

LYT NU: EN DAG I EN CYBERKRIMINALITETS LIV

Paul Ducklin taler med Peter Mackenzie, Director of Incident Response hos Sophos, i en cybersikkerhedssession, der vil alarmere, underholde og uddanne dig, alt i lige grad.

Lær, hvordan du stopper ransomware-skurke, før de stopper dig! (Fuld udskrift ledig.)

Klik og træk på lydbølgerne nedenfor for at springe til ethvert punkt. Du kan også lytte direkte på Soundcloud.

Mangler du tid eller ekspertise til at tage sig af cybersikkerhedstrusler? Bekymret for, at cybersikkerhed vil ende med at distrahere dig fra alle de andre ting, du skal gøre? Er du ikke sikker på, hvordan du skal reagere på sikkerhedsrapporter fra medarbejdere, der virkelig er ivrige efter at hjælpe?

Lær mere om Sophos Managed Detection and Response:
24/7 trusselsjagt, detektion og reaktion  ▶

Tidsstempel:

Mere fra Naked Security