Taru lunavaraserverid suleti lõpuks, ütleb FBI

Taru lunavaraserverid suleti lõpuks, ütleb FBI

Ajatempel: 27. jaanuar 2023 12:58
Allikasõlm: 1924152
by Alasti Turvalisuse kirjanik

Kuus kuud tagasi, vastavalt USA justiitsministeeriumile (DOJ) tungis Föderaalne Juurdlusbüroo (FBI) Hive lunavarade jõuku ja hakkas "tagasi varastama" dekrüpteerimisvõtmeid ohvritele, kelle failid olid šifreeritud.

Nagu te peaaegu kindlasti ja kahjuks teate, hõlmavad lunavararünnakud tänapäeval tavaliselt kahte seotud küberkurjategijate rühma.

Need rühmad tunnevad üksteist sageli ainult hüüdnimede järgi ja "kohtuvad" ainult võrgus, kasutades anonüümsustööriistu, et vältida tegelikult teades (või paljastades, kas juhuslikult või kavandatult) üksteise tegelikku identiteeti ja asukohti.

Põhirühma liikmed jäävad suures osas tagaplaanile, luues pahatahtlikke programme, mis segavad (või blokeerivad neile muul viisil juurdepääsu) kõiki teie olulisi faile, kasutades juurdepääsuvõtit, mille nad pärast kahju tekkimist endale hoiavad.

Nad haldavad ka üht või mitut tumeveebi makselehte, kus ohvrid maksavad nende juurdepääsuvõtmete eest väljapressimisraha, võimaldades neil seeläbi külmunud arvutid avada ja ettevõtted uuesti tööle panna.

Kriminaalvara teenusena

Seda tuumikgruppi ümbritseb võib-olla suur ja pidevalt muutuv grupp “sidusettevõtteid” – kuritegevuse partnerid, kes murravad sisse teiste inimeste võrgustikesse, et juurutada tuumikjõugu “ründeprogramme” võimalikult laialt ja sügavalt.

Nende eesmärk, mis on ajendatud "vahendustasust", mis võib olla kuni 80% kogu makstud väljapressimisest, on tekitada äritegevuses nii ulatuslikud ja äkilised häired, et nad ei saa nõuda mitte ainult silmatorkavat väljapressimist, vaid ka ohvrile ei jää muud üle kui maksta.

Seda korraldust tuntakse üldiselt kui RaaS or CaaS, lühike ransomware (Või kriminaalvara) teenusena, nimi, mis on irooniline meeldetuletus, et küberkurjategijate allmaailm kopeerib hea meelega sidusettevõtte või frantsiisimudeli, mida kasutavad paljud seaduslikud ettevõtted.

Taastumine maksmata

On kolm peamist viisi, kuidas ohvrid saavad pärast edukat kogu võrku hõlmavat failide sulgemise rünnakut oma ettevõtted tagasi rööbastele panna, ilma et nad maksaksid:

  • Omage jõulist ja tõhusat taastamiskava. Üldiselt ei tähenda see mitte ainult tipptasemel varukoopiate tegemise protsessi, vaid ka teadmist, kuidas hoida vähemalt ühte varukoopiat kõigest lunavara sidusettevõtete eest kaitstuna (neile ei meeldi midagi paremat, kui veebipõhised varukoopiad enne avamist üles leida ja hävitada. rünnaku viimane faas). Samuti peate olema harjutanud, kuidas neid varukoopiaid usaldusväärselt ja piisavalt kiiresti taastada, et see oleks mõistlik alternatiiv niikuinii lihtsalt tasumisele.
  • Leidke viga ründajate kasutatud failide lukustamise protsessis. Tavaliselt lukustavad lunavara kelmid teie failid, krüpteerides need samasuguse turvalise krüptograafiaga, mida võite ise kasutada oma veebiliikluse või varukoopiate turvamisel. Aeg-ajalt teeb tuumikrühm aga ühe või mitu programmeerimisviga, mis võib lubada teil kasutada tasuta tööriista dekrüpteeringu "murdmiseks" ja ilma maksmata taastamiseks. Kuid pidage meeles, et see taastumise tee sünnib õnne, mitte plaani järgi.
  • Hankige tegelikud taasteparoolid või -võtmed mõnel muul viisil. Kuigi see on haruldane, võib see juhtuda mitmel viisil, näiteks: tuvastada jõugu sees mantel, kes südametunnistuse või pahameelepuhangu korral võtmed lekitab; võrgu turvaprobleemi leidmine, mis võimaldab vasturünnakul kelmide enda peidetud serveritest võtmeid välja tõmmata; või jõugu imbumine ja salajase juurdepääsu saamine vajalikele andmetele kurjategijate võrgustikus.

Viimane neist, infiltratsioon, nii väidab DOJ suutnud teha alates 2022. aasta juulist on vähemalt mõnede Hive'i ohvrite jaoks ilmselt lühise väljapressimise tõttu nõutud rohkem kui 130 miljonit dollarit, mis on seotud enam kui 300 üksiku rünnakuga vaid kuue kuu jooksul.

Eeldame, et 130 miljoni dollari suurus põhineb ründajate esialgsetel nõudmistel; lunavarakelmid nõustuvad mõnikord väiksemate maksetega, eelistades midagi võtta kui mitte midagi, ehkki pakutavad "allahindlused" näivad sageli vähendavat makseid vaid taskukohaselt tohutult silmi jooksvalt tohutuks. Keskmine keskmine nõudlus ülaltoodud arvude põhjal on 130 miljonit dollarit 300 kohta ehk ligi 450,000 XNUMX dollarit ohvri kohta.

Haiglaid peeti õiglasteks sihtmärkideks

Nagu DOJ märgib, kohtlevad paljud lunavarajõugud üldiselt ja eriti Hive'i meeskond kõiki võrgustikke väljapressimise ausa mänguna, rünnates avalikult rahastatavaid organisatsioone, nagu koolid ja haiglad, sama jõuga, mida nad kasutavad jõukaimad äriettevõtted:

[T]hive lunavaragrupp […] on võtnud sihikule rohkem kui 1500 ohvrit enam kui 80 riigis üle maailma, sealhulgas haiglad, koolipiirkonnad, finantsettevõtted ja kriitilise tähtsusega infrastruktuur.

Kahjuks, kuigi kaasaegsesse küberkuritegude jõuku imbumine võib anda teile fantastilise ülevaate jõugu TTP-dest (tööriistad, tehnikad ja protseduurid) ja – nagu antud juhul – annab teile võimaluse häirida nende tegevust, õõnestades väljapressimisprotsessi, millel need silmatorkavad väljapressimisnõuded põhinevad…

… isegi kurjategijate tumeveebipõhise IT-infrastruktuuri jõugu administraatori parooli teadmine ei ütle teile üldiselt, kus see infrastruktuur asub.

Kahesuunaline pseudoanonüümsus

Üks darkwebi suurepäraseid/kohutavaid aspekte (olenevalt sellest, miks te seda kasutate ja kummal poolel olete), eriti Tor (lühike sibula ruuter) võrk, mida tänapäeva lunavarakurjategijad laialdaselt eelistavad, on see, mida võiks nimetada selle kahesuunaliseks pseudoanonüümsuseks.

Darkweb mitte ainult ei varja selles hostitud serveritega ühenduse loovate kasutajate identiteeti ja asukohta, vaid peidab ka serverite endi asukoha külastavate klientide eest.

Server (vähemalt enamjaolt) ei tea, kes te olete sisse logides, mis meelitab ligi selliseid kliente nagu küberkuritegevuse sidusettevõtted ja potentsiaalsed tumeveebi uimastiostjad, sest nad kipuvad arvama, et nad suudavad ohutult kärpida ja käivitada isegi siis, kui põhirühma operaatorid kukuvad.

Sarnaselt köidab petturitest serverioperaatoreid tõsiasi, et isegi kui nende kliente, sidusettevõtteid või oma süsteemiadministraatoreid korrakaitsjad katkestavad, pööratakse või häkitakse, ei saa nad avaldada, kes on rühma põhiliikmed või kus nad on. võõrustada nende pahatahtlikke võrgutegevusi.

Lõpuks mahavõtmine

Tundub, et eilse DOJ-i pressiteate põhjuseks on see, et FBI uurijad on nüüd nii Saksamaa kui ka Hollandi õiguskaitseorganite abiga tuvastanud, leidnud ja konfiskeerinud Hive'i jõugu kasutatavad tumeveebiserverid:

Lõpuks teatas osakond täna [2023-01-26], et koostöös Saksamaa õiguskaitseorganitega (Saksamaa föderaalne kriminaalpolitsei ja Reutlingeni politsei peakorter-CID Esslingen) ja Hollandi riikliku kõrgtehnoloogia kuritegevuse üksusega on ta haaranud kontrolli serverid ja veebisaidid, mida Hive kasutab oma liikmetega suhtlemiseks, häirides Hive'i võimet ohvreid rünnata ja välja pressida.

Mida teha?

Kirjutasime selle artikli, et tunnustada FBI-d ja tema õiguskaitsepartnereid Euroopas, et nad nii kaugele jõudsid…

…uurivad, imbuvad, uurivad ja lõpuks löövad lõhki selle kurikuulsa lunavarameeskonna praeguse infrastruktuuri koos oma poole miljoni dollari suuruse keskmise väljapressimisnõudlusega ja valmisolekuga viia haiglad välja sama kiiresti, kui nad otsivad kedagi. teise võrku.

Kahjuks olete ilmselt juba kuulnud seda klišeed küberkuritegevus jälestab vaakumit, ja see kehtib kahjuks nii lunavaraoperaatorite kui ka muude veebikuritegevuse aspektide kohta.

Kui jõugu tuumikliikmeid ei arreteerita, võivad nad lihtsalt mõnda aega maas lebada ja siis uue nime all (või võib-olla isegi tahtlikult ja üleolevalt oma vana "brändi taaselustada") uute serveritega, millele pääseb taas ligi. darkweb, kuid uues ja nüüd tundmatus kohas.

Või muud lunavarajõugud lihtsalt kiirendavad oma tegevust, lootes meelitada ligi mõnda "sidusettevõtet", kes jäid ootamatult tulutoovalt ebaseaduslikust tulust ilma.

Mõlemal juhul on sellised mahavõtmised midagi, mida me hädasti vajame. Peame nende juhtumisel rõõmustama, kuid tõenäoliselt ei tekita see küberkuritegevusele tervikuna rohkemat kui ajutist mõlki.

Selleks, et vähendada rahasummat, mida lunavarakelmid meie majandusest välja imevad, peame seadma eesmärgiks küberkuritegevuse ennetamise, mitte pelgalt ravi.

Võimalike lunavararünnakute tuvastamine, neile reageerimine ja seega ennetamine enne nende algust või nende lahtirullumise ajal või isegi viimasel hetkel, kui kelmid üritavad teie võrgus viimast faili skrambleerimisprotsessi vallandada, on alati parem kui stress tegelikust rünnakust taastumisel.

Nagu hr Miagi, Karate Kidi kuulsus, teadlikult märkis, "Parim viis löögi vältimiseks – ära ole kohal."

KUULA KOHE: PÄEV KÜBERKURITEGEVÕITLIJA ELUS

Paul Ducklin räägib Peter Mackenzie, Sophose intsidentidele reageerimise direktor, küberjulgeoleku seansil, mis tekitab häiret, lõbustab ja õpetab teid võrdselt.

Õppige, kuidas peatada lunavarakelmid, enne kui nad teid peatavad! (Täis ümberkirjutus saadaval.)

Klõpsake ja lohistage allolevatel helilainetel mis tahes punkti hüppamiseks. Sa saad ka kuula otse Soundcloudis.

Kas napib aega või teadmisi küberjulgeolekuohtudele reageerimiseks? Kas olete mures, et küberturvalisus tõmbab teie tähelepanu kõrvale kõigilt muudelt asjadelt, mida peate tegema? Kas te pole kindel, kuidas reageerida tõeliselt aidata soovivate töötajate turvateadetele?

Lisateave Sophose hallatav tuvastamine ja reageerimine:
Ööpäevaringne ohtude otsimine, avastamine ja reageerimine  ▶

Ajatempel:

Veel alates Alasti turvalisus