Enam bulan yang lalu, menurut kepada Departemen Kehakiman AS (DOJ), Biro Investigasi Federal (FBI) menyusup ke geng ransomware Hive dan mulai "mencuri kembali" kunci dekripsi untuk korban yang file-nya telah diacak.
Seperti yang Anda hampir pasti, dan sayangnya, sadar, serangan ransomware akhir-akhir ini biasanya melibatkan dua kelompok penjahat dunia maya yang terkait.
Grup ini sering “mengenal” satu sama lain hanya dengan nama panggilan, dan “bertemu” hanya secara online, menggunakan alat anonimitas untuk menghindari sebenarnya mengetahui (atau mengungkapkan, baik secara tidak sengaja atau sengaja) identitas dan lokasi kehidupan nyata satu sama lain.
Anggota geng inti sebagian besar berada di latar belakang, membuat program jahat yang mengacak (atau memblokir akses ke) semua file penting Anda, menggunakan kunci akses yang mereka simpan sendiri setelah kerusakan terjadi.
Mereka juga menjalankan satu atau lebih "halaman pembayaran" darkweb di mana para korban, secara longgar, pergi untuk membayar uang pemerasan sebagai imbalan atas kunci akses tersebut, sehingga memungkinkan mereka untuk membuka kunci komputer beku mereka, dan membuat perusahaan mereka berjalan kembali.
Crimeware-sebagai-Layanan
Kelompok inti ini dikelilingi oleh kelompok "afiliasi" yang mungkin besar dan selalu berubah - mitra dalam kejahatan yang membobol jaringan orang lain untuk menanamkan "program serangan" geng inti seluas dan sedalam mungkin.
Tujuan mereka, dimotivasi oleh "biaya komisi" yang mungkin sebanyak 80% dari total pemerasan yang dibayarkan, adalah untuk menciptakan gangguan yang meluas dan tiba-tiba terhadap bisnis sehingga mereka tidak hanya dapat menuntut pembayaran pemerasan yang menggiurkan, tetapi juga untuk meninggalkan korban dengan sedikit pilihan selain untuk membayar.
Susunan ini umumnya dikenal dengan Raas or CaaS, kependekan dari ransomware (Atau perangkat kejahatan) sebagai layanan, nama yang berdiri sebagai pengingat ironis bahwa penjahat dunia maya dengan senang hati meniru model afiliasi atau waralaba yang digunakan oleh banyak bisnis yang sah.
Memulihkan tanpa membayar
Ada tiga cara utama agar para korban dapat mengembalikan bisnis mereka tanpa membayar setelah serangan penguncian file yang berhasil di seluruh jaringan:
- Miliki rencana pemulihan yang kuat dan efisien. Secara umum, ini berarti tidak hanya memiliki proses terbaik untuk membuat cadangan, tetapi juga mengetahui cara menyimpan setidaknya satu salinan cadangan dari segala sesuatu yang aman dari afiliasi ransomware (mereka menyukai tidak ada yang lebih baik daripada menemukan dan menghancurkan cadangan online Anda sebelum melepaskan fase akhir serangan mereka). Anda juga harus berlatih cara memulihkan cadangan tersebut dengan andal dan cukup cepat sehingga melakukan hal itu merupakan alternatif yang layak untuk tetap membayar.
- Temukan cacat dalam proses penguncian file yang digunakan oleh penyerang. Biasanya, penjahat ransomware "mengunci" file Anda dengan mengenkripsinya dengan jenis kriptografi aman yang sama yang mungkin Anda gunakan sendiri saat mengamankan lalu lintas web atau cadangan Anda sendiri. Namun, kadang-kadang, geng inti membuat satu atau lebih kesalahan pemrograman yang memungkinkan Anda menggunakan alat gratis untuk "memecahkan" dekripsi dan memulihkan tanpa membayar. Ketahuilah, bagaimanapun, bahwa jalan menuju pemulihan ini terjadi karena keberuntungan, bukan karena desain.
- Dapatkan kata sandi atau kunci pemulihan yang sebenarnya dengan cara lain. Meskipun ini jarang terjadi, ada beberapa cara yang bisa terjadi, seperti: mengidentifikasi pengkhianat di dalam geng yang akan membocorkan kunci karena hati nurani atau ledakan dendam; menemukan kesalahan keamanan jaringan yang memungkinkan serangan balik untuk mengekstrak kunci dari server tersembunyi penjahat itu sendiri; atau menyusup ke geng dan mendapatkan akses rahasia ke data yang dibutuhkan di jaringan penjahat.
Yang terakhir ini, infiltrasi, adalah apa yang dikatakan DOJ mampu melakukan untuk setidaknya beberapa korban Hive sejak Juli 2022, tuntutan pemerasan hubungan arus pendek yang tampaknya berjumlah lebih dari $130 juta dolar, berkaitan dengan lebih dari 300 serangan individu, hanya dalam enam bulan.
Kami berasumsi bahwa angka $130 juta didasarkan pada permintaan awal penyerang; Penjahat ransomware kadang-kadang akhirnya menyetujui pembayaran yang lebih rendah, lebih memilih untuk mengambil sesuatu daripada tidak sama sekali, meskipun "diskon" yang ditawarkan sering kali tampaknya mengurangi pembayaran hanya dari sangat besar yang tidak terjangkau menjadi sangat besar. Permintaan rata-rata rata-rata berdasarkan angka di atas adalah $130 juta/300, atau mendekati $450,000 per korban.
Rumah sakit dianggap sebagai target yang adil
Seperti yang ditunjukkan DOJ, banyak geng ransomware pada umumnya, dan khususnya kru Hive, memperlakukan setiap dan semua jaringan sebagai permainan yang adil untuk pemerasan, menyerang organisasi yang didanai publik seperti sekolah dan rumah sakit dengan kekuatan yang sama seperti yang mereka gunakan untuk melawan perusahaan komersial terkaya:
[T]he Hive ransomware group […] telah menargetkan lebih dari 1500 korban di lebih dari 80 negara di seluruh dunia, termasuk rumah sakit, distrik sekolah, perusahaan keuangan, dan infrastruktur penting.
Sayangnya, meskipun menyusup ke geng kejahatan dunia maya modern mungkin memberi Anda wawasan fantastis tentang TTP geng tersebut (alat, teknik dan prosedur), dan – seperti dalam kasus ini – memberi Anda kesempatan untuk mengganggu operasi mereka dengan menumbangkan proses pemerasan yang menjadi dasar tuntutan pemerasan yang menggiurkan itu…
… mengetahui bahkan kata sandi administrator geng untuk infrastruktur IT berbasis darkweb para penjahat umumnya tidak memberi tahu Anda di mana infrastruktur itu berada.
Pseudoanonimitas dua arah
Salah satu aspek hebat/mengerikan dari darkweb (tergantung pada alasan Anda menggunakannya, dan di sisi mana Anda berada), terutama Tor (kependekan dari router bawang) jaringan yang banyak disukai oleh penjahat ransomware saat ini, adalah apa yang Anda sebut sebagai pseudoanonimitas dua arah.
Darkweb tidak hanya melindungi identitas dan lokasi pengguna yang terhubung ke server yang dihosting di dalamnya, tetapi juga menyembunyikan lokasi server itu sendiri dari klien yang berkunjung.
Server (untuk sebagian besar, setidaknya) tidak tahu siapa Anda saat Anda masuk, yang menarik klien seperti afiliasi kejahatan dunia maya dan calon pembeli obat web gelap, karena mereka cenderung merasa bahwa mereka akan menjadi dapat memotong-dan-lari dengan aman, bahkan jika operator geng inti tertangkap.
Demikian pula, operator server nakal tertarik oleh fakta bahwa meskipun klien, afiliasi, atau sysadmin mereka sendiri dibobol, atau dibalik, atau diretas oleh penegak hukum, mereka tidak akan dapat mengungkapkan siapa anggota geng inti, atau di mana mereka berada. host aktivitas online berbahaya mereka.
Penghapusan akhirnya
Nah, tampaknya alasan siaran pers DOJ kemarin adalah karena penyelidik FBI, dengan bantuan penegak hukum di Jerman dan Belanda, kini telah mengidentifikasi, menemukan, dan menyita server web gelap yang digunakan geng Hive:
Akhirnya, departemen mengumumkan hari ini[2023-01-26] bahwa, berkoordinasi dengan penegak hukum Jerman (Polisi Kriminal Federal Jerman dan Markas Besar Polisi Reutlingen-CID Esslingen) dan Unit Kejahatan Teknologi Tinggi Nasional Belanda, telah menguasai server dan situs web yang digunakan Hive untuk berkomunikasi dengan anggotanya, mengganggu kemampuan Hive untuk menyerang dan memeras korban.
Apa yang harus dilakukan?
Kami menulis artikel ini untuk memuji FBI dan mitra penegakan hukumnya di Eropa karena telah melangkah sejauh ini…
…menyelidiki, menyusup, mengintai, dan akhirnya menyerang untuk meledakkan infrastruktur saat ini dari kru ransomware terkenal ini, dengan tuntutan pemerasan rata-rata setengah juta dolar, dan kesediaan mereka untuk mengambil rumah sakit semudah mereka mengejar siapa pun jaringan orang lain.
Sayangnya, Anda mungkin sudah mendengar klise itu kejahatan dunia maya membenci kekosongan, dan itu sayangnya berlaku untuk operator ransomware seperti halnya untuk aspek lain dari kriminalitas online.
Jika anggota geng inti tidak ditangkap, mereka mungkin hanya bersembunyi untuk sementara, dan kemudian muncul dengan nama baru (atau bahkan mungkin dengan sengaja dan arogan menghidupkan kembali "merek" lama mereka dengan server baru, dapat diakses sekali lagi di Internet. darkweb tetapi di lokasi baru dan sekarang tidak diketahui.
Atau geng ransomware lain hanya akan meningkatkan operasi mereka, berharap untuk menarik beberapa "afiliasi" yang tiba-tiba ditinggalkan tanpa aliran pendapatan mereka yang melanggar hukum.
Either way, pencopotan seperti ini adalah sesuatu yang sangat kami butuhkan, yang perlu kami dukung ketika itu terjadi, tetapi itu tidak mungkin memberikan lebih dari sekadar kerusakan sementara dalam kejahatan dunia maya secara keseluruhan.
Untuk mengurangi jumlah uang yang disedot penjahat ransomware dari ekonomi kita, kita perlu bertujuan untuk pencegahan kejahatan dunia maya, bukan hanya menyembuhkan.
Mendeteksi, merespons, dan dengan demikian mencegah potensi serangan ransomware sebelum dimulai, atau saat sedang berlangsung, atau bahkan di saat-saat terakhir, ketika penjahat mencoba melepaskan proses pengacakan file terakhir di seluruh jaringan Anda, selalu lebih baik daripada stres mencoba untuk pulih dari serangan yang sebenarnya.
Sebagai Tuan Miagi, dari ketenaran Karate Kid, sengaja berkomentar, “Cara terbaik untuk menghindari pukulan – jangan berada di sana.”
DENGARKAN SEKARANG: SEHARI DALAM HIDUP CYBERCRIME FIGHTER
Paul Ducklin berbicara dengan Peter Mackenzie, Director of Incident Response di Sophos, dalam sesi keamanan siber yang akan mengingatkan, menghibur, dan mendidik Anda, semuanya dalam ukuran yang setara.
Pelajari cara menghentikan penjahat ransomware sebelum mereka menghentikan Anda! (Penuh salinan tersedia.)
Klik-dan-tarik gelombang suara di bawah untuk melompat ke titik mana pun. Anda juga bisa dengarkan langsung di Soundcloud.
Kehabisan waktu atau keahlian untuk menangani respons ancaman keamanan siber? Khawatir keamanan siber pada akhirnya akan mengganggu Anda dari semua hal lain yang perlu Anda lakukan? Tidak yakin bagaimana menanggapi laporan keamanan dari karyawan yang benar-benar ingin membantu?
Pelajari lebih lanjut tentang Deteksi dan Respons Terkelola Sophos:
Perburuan, deteksi, dan respons ancaman 24/7 ▶
- Konten Bertenaga SEO & Distribusi PR. Dapatkan Amplifikasi Hari Ini.
- Platoblockchain. Intelijen Metaverse Web3. Pengetahuan Diperkuat. Akses Di Sini.
- Sumber: https://nakedsecurity.sophos.com/2023/01/27/hive-ransomware-servers-shut-down-at-last-says-fbi/
- 000
- 1
- 2022
- a
- kemampuan
- Sanggup
- Tentang Kami
- atas
- Mutlak
- mengakses
- dapat diakses
- kecelakaan
- di seluruh
- kegiatan
- Bergabung
- Afiliasi
- Setelah
- terhadap
- alarm
- Semua
- Membiarkan
- sudah
- alternatif
- Meskipun
- selalu
- jumlah
- dan
- mengumumkan
- keadaan tanpa nama
- siapapun
- sekitar
- pengaturan
- ditangkap
- artikel
- penampilan
- aspek
- Bantuan
- terkait
- menyerang
- Menyerang
- Serangan
- menarik
- Menarik
- penulis
- mobil
- tersedia
- rata-rata
- kembali
- latar belakang
- background-image
- backup
- backup
- berdasarkan
- karena
- sebelum
- di bawah
- Lebih baik
- Pemerasan
- Memblokir
- batas
- Bawah
- Istirahat
- Biro
- bisnis
- bisnis
- pembeli
- panggilan
- Bisa Dapatkan
- yang
- kasus
- pusat
- Pasti
- kesempatan
- pilihan
- klien
- Penyelesaian
- warna
- komersial
- menyampaikan
- Perusahaan
- komputer
- Terhubung
- dianggap
- kontrol
- koordinasi
- Core
- negara
- menutupi
- membuat
- membuat
- Kejahatan
- Pidana
- Penjahat
- kritis
- Infrastruktur Penting
- Crooks
- kriptografi
- menyembuhkan
- terbaru
- cybercrime
- PENJAHAT SIBER
- penjahat cyber
- Keamanan cyber
- web gelap
- data
- hari
- Hari
- Permintaan
- tuntutan
- Departemen
- depkeh
- Departemen Kehakiman (DoJ)
- Tergantung
- Mendesain
- menghancurkan
- Deteksi
- Kepala
- Display
- Gangguan
- Tidak
- melakukan
- DoJ
- dolar
- turun
- obat
- setiap
- ekonomi
- mendidik
- efisien
- milik orang lain
- karyawan
- pelaksanaan
- cukup
- Eropa
- Bahkan
- selalu berubah
- segala sesuatu
- keahlian
- pemerasan
- ekstrak
- adil
- FAME
- fantastis
- fbi
- Federal
- Biro Investigasi Federal
- Angka
- angka-angka
- File
- File
- terakhir
- fase akhir
- Akhirnya
- keuangan
- Menemukan
- temuan
- perusahaan
- cocok
- cacat
- Hak
- Gratis
- dari
- beku
- penuh
- permainan
- Gang
- Umum
- umumnya
- Jerman
- Jerman
- mendapatkan
- mendapatkan
- Memberikan
- Go
- tujuan
- Kelompok
- Grup
- hack
- terjadi
- Terjadi
- senang
- memiliki
- mendengar
- tinggi
- membantu
- Tersembunyi
- High
- Sarang lebah
- memegang
- berharap
- rumah sakit
- tuan rumah
- host
- melayang-layang
- Seterpercayaapakah Olymp Trade? Kesimpulan
- How To
- Namun
- HTML
- HTTPS
- besar
- Pemburuan
- diidentifikasi
- mengidentifikasi
- identitas
- identitas
- penting
- in
- insiden
- respon insiden
- Termasuk
- sendiri-sendiri
- Infrastruktur
- mulanya
- wawasan
- investigasi
- Penyidik
- melibatkan
- IT
- Juli
- Keadilan
- Tajam
- Menjaga
- kunci
- kunci-kunci
- Anak
- Tahu
- Mengetahui
- dikenal
- besar
- sebagian besar
- Terakhir
- Hukum
- penegakan hukum
- bocor
- Meninggalkan
- Hidup
- sedikit
- terletak
- tempat
- lokasi
- penguncian
- Rendah
- keberuntungan
- Utama
- MEMBUAT
- Membuat
- berhasil
- banyak
- Margin
- max-width
- cara
- mengukur
- Anggota
- hanya
- mungkin
- juta
- juta dolar
- model
- modern
- saat
- uang
- bulan
- lebih
- paling
- termotivasi
- Keamanan Telanjang
- nama
- nasional
- Perlu
- dibutuhkan
- Belanda
- jaringan
- Keamanan jaringan
- jaringan
- New
- normal
- terutama
- terkenal jahat
- ditawarkan
- Tua
- ONE
- secara online
- Operasi
- operator
- urutan
- Organisasi
- Lainnya
- jika tidak
- sendiri
- dibayar
- bagian
- tertentu
- rekan
- Kata Sandi
- password
- path
- Membayar
- pembayaran
- pembayaran
- pembayaran
- orang
- mungkin
- tahap
- rencana
- plato
- Kecerdasan Data Plato
- Data Plato
- Titik
- poin
- Polisi
- posisi
- mungkin
- Posts
- potensi
- pers
- Jumpa pers
- mencegah
- Pencegahan
- mungkin
- proses
- Pemrograman
- program
- pons
- menempatkan
- segera
- rel
- Lereng
- ransomware
- Serangan Ransomware
- LANGKA
- alasan
- Memulihkan
- pemulihan
- menurunkan
- melepaskan
- laporan
- Menanggapi
- tanggapan
- kembali
- mengungkapkan
- mengungkapkan
- pendapatan
- Menghidupkan kembali
- kuat
- Run
- berjalan
- aman
- aman
- sama
- Sekolah
- Sekolah
- aman
- mengamankan
- keamanan
- tampaknya
- disita
- Sidang
- beberapa
- Melindungi
- Pendek
- menutup
- hanya
- sejak
- ENAM
- Enam bulan
- So
- padat
- beberapa
- sesuatu
- berbicara
- Meskipun
- musim semi
- berdiri
- awal
- mulai
- tinggal
- berhenti
- aliran
- tekanan
- sukses
- seperti itu
- tiba-tiba
- terkepung
- SVG
- Mengambil
- Pembicaraan
- ditargetkan
- tech
- teknik
- sementara
- Grafik
- Belanda
- Dunia
- mereka
- diri
- hal
- ancaman
- tiga
- waktu
- untuk
- hari ini
- alat
- alat
- puncak
- Total
- lalu lintas
- transisi
- jelas
- mengobati
- benar
- Berbalik
- khas
- bawah
- berlangsung
- satuan
- melancarkan
- membuka kunci
- URL
- us
- Departemen Kehakiman AS
- menggunakan
- Pengguna
- biasanya
- Luas
- giat
- Korban
- korban
- cara
- jaringan
- Lalu Lintas Web
- situs web
- Apa
- apakah
- yang
- sementara
- SIAPA
- sangat
- tersebar luas
- akan
- Kerelaan
- tanpa
- dunia
- cemas
- penulis
- Anda
- diri
- zephyrnet.dll
