Les serveurs de rançongiciel Hive sont enfin fermés, selon le FBI

Les serveurs de rançongiciel Hive sont enfin fermés, selon le FBI

Horodatage: 27 janvier 2023 12h58
Nœud source: 1924152
by Écrivain Naked Security

Il y a six mois, selon au ministère américain de la Justice (DOJ), le Federal Bureau of Investigation (FBI) a infiltré le gang de rançongiciels Hive et a commencé à "voler" les clés de déchiffrement des victimes dont les fichiers avaient été brouillés.

Comme vous le savez presque certainement, et malheureusement, les attaques de rançongiciels impliquent généralement deux groupes associés de cybercriminels.

Ces groupes ne se « connaissent » souvent que par des surnoms et ne se « rencontrent » qu'en ligne, en utilisant des outils d'anonymat pour éviter actually connaître (ou révéler, que ce soit par accident ou à dessein) les identités et les lieux réels de chacun.

Les principaux membres du gang restent en grande partie en arrière-plan, créant des programmes malveillants qui brouillent (ou bloquent l'accès à) tous vos fichiers importants, en utilisant une clé d'accès qu'ils gardent pour eux une fois les dégâts causés.

Ils gèrent également une ou plusieurs «pages de paiement» du darkweb où les victimes, en gros, vont payer de l'argent de chantage en échange de ces clés d'accès, leur permettant ainsi de déverrouiller leurs ordinateurs gelés et de relancer leur entreprise.

Crimeware en tant que service

Ce groupe central est entouré d'un groupe potentiellement important et en constante évolution d'« affiliés » - des partenaires criminels qui s'introduisent dans les réseaux d'autres personnes afin d'implanter les « programmes d'attaque » du gang principal aussi largement et profondément que possible.

Leur objectif, motivé par une « frais de commission » qui peut représenter jusqu'à 80 % du chantage total payé, est de créer une perturbation si généralisée et soudaine d'une entreprise qu'ils peuvent non seulement exiger un paiement d'extorsion exorbitant, mais aussi laisser la victime sans autre choix que de payer.

Cette disposition est généralement connue sous le nom de RaaS or CaaS, court pour ransomware (ou logiciel criminel) en tant que service, un nom qui rappelle ironiquement que la pègre cybercriminelle est heureuse de copier le modèle d'affiliation ou de franchise utilisé par de nombreuses entreprises légitimes.

Récupérer sans payer

Il existe trois façons principales pour les victimes de remettre leur entreprise sur les rails sans payer après une attaque réussie de verrouillage de fichiers à l'échelle du réseau :

  • Avoir un plan de relance robuste et efficace. D'une manière générale, cela signifie non seulement avoir un processus de premier ordre pour effectuer des sauvegardes, mais aussi savoir comment conserver au moins une copie de sauvegarde de tout à l'abri des affiliés ransomware (ils n'aiment rien de mieux que de trouver et de détruire vos sauvegardes en ligne avant de libérer la phase finale de leur attaque). Vous devez également avoir pratiqué la restauration de ces sauvegardes de manière fiable et suffisamment rapide pour que cela soit une alternative viable au simple paiement de toute façon.
  • Trouvez une faille dans le processus de verrouillage des fichiers utilisé par les attaquants. Habituellement, les escrocs de rançongiciels "verrouillent" vos fichiers en les chiffrant avec le même type de cryptographie sécurisée que vous pourriez utiliser vous-même pour sécuriser votre trafic Web ou vos propres sauvegardes. Parfois, cependant, le noyau dur commet une ou plusieurs erreurs de programmation qui peuvent vous permettre d'utiliser un outil gratuit pour "craquer" le décryptage et récupérer sans payer. Sachez cependant que ce chemin vers la récupération se produit par chance et non par conception.
  • Obtenez les mots de passe ou les clés de récupération réels d'une autre manière. Bien que cela soit rare, cela peut se produire de plusieurs manières, telles que : identifier un transfuge à l'intérieur du gang qui divulguera les clés dans un accès de conscience ou un sursaut de dépit ; trouver une bévue de sécurité réseau permettant une contre-attaque pour extraire les clés des propres serveurs cachés des escrocs ; ou infiltrer le gang et obtenir un accès clandestin aux données nécessaires dans le réseau des criminels.

Le dernier d'entre eux, infiltration, est ce que le DOJ dit que c'est pu faire pour au moins certaines victimes de Hive depuis juillet 2022, court-circuitant apparemment des demandes de chantage totalisant plus de 130 millions de dollars, concernant plus de 300 attaques individuelles, en seulement six mois.

Nous supposons que le chiffre de 130 millions de dollars est basé sur les demandes initiales des attaquants ; les escrocs de rançongiciels finissent parfois par accepter des paiements inférieurs, préférant prendre quelque chose plutôt que rien, bien que les "remises" offertes semblent souvent réduire les paiements seulement d'un montant inabordable à un énorme énorme. La demande moyenne moyenne basée sur les chiffres ci-dessus est de 130 M$/300, soit près de 450,000 XNUMX $ par victime.

Les hôpitaux considérés comme des cibles équitables

Comme le souligne le DOJ, de nombreux gangs de rançongiciels en général, et l'équipe de Hive en particulier, traitent tous les réseaux comme un jeu équitable pour le chantage, attaquant les organisations financées par l'État telles que les écoles et les hôpitaux avec la même vigueur qu'ils utilisent contre le sociétés commerciales les plus riches :

[L]e groupe de rançongiciels Hive […] a ciblé plus de 1500 80 victimes dans plus de XNUMX pays à travers le monde, y compris des hôpitaux, des districts scolaires, des sociétés financières et des infrastructures critiques.

Malheureusement, même si l'infiltration d'un gang de cybercriminalité moderne peut vous donner un aperçu fantastique des TTP du gang (outils, techniques et procédures), et - comme dans ce cas - vous donner une chance de perturber leurs opérations en renversant le processus de chantage sur lequel ces demandes d'extorsion alléchantes sont basées…

… Connaître même le mot de passe d'un administrateur de gang pour l'infrastructure informatique basée sur le darkweb des criminels ne vous dit généralement pas où cette infrastructure est basée.

Pseudo-anonymat bidirectionnel

L'un des aspects formidables / terribles du darkweb (selon la raison pour laquelle vous l'utilisez et de quel côté vous vous trouvez), notamment le Tor (court pour le routeur d'oignon) réseau qui est largement favorisé par les criminels rançongiciels d'aujourd'hui, est ce que l'on pourrait appeler son pseudo-anonymat bidirectionnel.

Le darkweb ne protège pas seulement l'identité et l'emplacement des utilisateurs qui se connectent aux serveurs hébergés sur celui-ci, mais cache également l'emplacement des serveurs eux-mêmes aux clients qui visitent.

Le serveur (pour la plupart, du moins) ne sait pas qui vous êtes lorsque vous vous connectez, ce qui attire des clients tels que les affiliés à la cybercriminalité et les acheteurs potentiels de drogue sur le darkweb, car ils ont tendance à penser qu'ils seront capable de couper et de courir en toute sécurité, même si les principaux opérateurs du gang se font arrêter.

De même, les opérateurs de serveurs voyous sont attirés par le fait que même si leurs clients, leurs affiliés ou leurs propres administrateurs système sont arrêtés, détournés ou piratés par les forces de l'ordre, ils ne seront pas en mesure de révéler qui sont les principaux membres du gang, ni où ils se trouvent. hébergent leurs activités malveillantes en ligne.

Démontage enfin

Eh bien, il semble que la raison du communiqué de presse du DOJ d'hier est que les enquêteurs du FBI, avec l'aide des forces de l'ordre en Allemagne et aux Pays-Bas, ont maintenant identifié, localisé et saisi les serveurs darkweb que le gang Hive utilisait :

Enfin, le département a annoncé aujourd'hui [2023-01-26] qu'en coordination avec les forces de l'ordre allemandes (la police criminelle fédérale allemande et le quartier général de la police de Reutlingen - CID Esslingen) et l'unité néerlandaise de lutte contre la criminalité high-tech, il a pris le contrôle du serveurs et sites Web que Hive utilise pour communiquer avec ses membres, perturbant la capacité de Hive à attaquer et extorquer les victimes.

Que faire?

Nous avons écrit cet article pour féliciter le FBI et ses partenaires chargés de l'application de la loi en Europe d'être arrivés aussi loin…

… enquêter, infiltrer, reconnaître et enfin frapper pour faire imploser l'infrastructure actuelle de cette équipe de rançongiciels notoire, avec leurs demandes de chantage d'un demi-million de dollars en moyenne et leur volonté de détruire les hôpitaux aussi facilement qu'ils s'en prennent à n'importe qui le réseau d'un autre.

Malheureusement, vous avez probablement déjà entendu le cliché selon lequel la cybercriminalité a horreur du vide, et c'est malheureusement vrai pour les opérateurs de rançongiciels autant que pour tout autre aspect de la criminalité en ligne.

Si les membres principaux du gang ne sont pas arrêtés, ils peuvent simplement rester discrets pendant un moment, puis surgir sous un nouveau nom (ou peut-être même faire revivre délibérément et avec arrogance leur ancienne "marque") avec de nouveaux serveurs, accessibles à nouveau sur le darkweb mais à un endroit nouveau et maintenant inconnu.

Ou d'autres gangs de rançongiciels intensifieront simplement leurs opérations, dans l'espoir d'attirer certains des « affiliés » qui se sont soudainement retrouvés sans leur source de revenus lucrativement illégale.

Quoi qu'il en soit, des démontages comme celui-ci sont quelque chose dont nous avons un besoin urgent, que nous devons encourager lorsqu'ils se produisent, mais il est peu probable qu'ils mettent plus qu'une brèche temporaire dans la cybercriminalité dans son ensemble.

Pour réduire la somme d'argent que les escrocs de rançongiciels aspirent de notre économie, nous devons viser la prévention de la cybercriminalité, pas seulement la guérison.

Détecter, répondre et ainsi prévenir les attaques potentielles de rançongiciels avant qu'elles ne commencent, ou pendant qu'elles se déroulent, ou même au tout dernier moment, lorsque les escrocs essaient de déclencher le processus final de brouillage de fichiers sur votre réseau, est toujours mieux que le stress d'essayer de se remettre d'une attaque réelle.

Comme M. Miagi, de la renommée de Karaté Kid, sciemment remarqué, "Le meilleur moyen d'éviter les coups de poing - ne soyez pas là."

ÉCOUTEZ MAINTENANT : UNE JOURNÉE DANS LA VIE D'UN COMBATTANT DE LA CYBERCRIMINALITÉ

Paul Ducklin parle à Pierre Mackenzie, directeur de la réponse aux incidents chez Sophos, dans une session sur la cybersécurité qui vous alarmera, vous amusera et vous éduquera, le tout dans une égale mesure.

Apprenez à arrêter les escrocs rançongiciels avant qu'ils ne vous arrêtent ! (Complet transcription disponible.)

Cliquez et faites glisser sur les ondes sonores ci-dessous pour passer à n'importe quel point. Vous pouvez également écouter directement sur Soundcloud.

Vous manquez de temps ou d'expertise pour vous occuper de la réponse aux menaces de cybersécurité ? Vous craignez que la cybersécurité finisse par vous distraire de toutes les autres choses que vous devez faire ? Vous ne savez pas comment répondre aux rapports de sécurité d'employés qui souhaitent vraiment aider ?

En savoir plus sur Détection et réponse gérées par Sophos:
Recherche, détection et réponse aux menaces 24h/7 et XNUMXj/XNUMX  ▶

Horodatage:

Plus de Sécurité nue