Sei mesi fa, secondo al Dipartimento di Giustizia degli Stati Uniti (DOJ), il Federal Bureau of Investigation (FBI) si è infiltrato nella banda di ransomware Hive e ha iniziato a "rubare" le chiavi di decrittazione per le vittime i cui file erano stati codificati.
Come quasi sicuramente, e purtroppo, saprai, gli attacchi ransomware in questi giorni coinvolgono in genere due gruppi associati di criminali informatici.
Questi gruppi spesso si “conoscono” solo tramite soprannomi e si “incontrano” solo online, utilizzando strumenti di anonimato per evitare effettivamente conoscere (o rivelare, per caso o intenzionalmente) le reciproche identità e posizioni della vita reale.
I membri principali della banda rimangono in gran parte in background, creando programmi dannosi che codificano (o altrimenti bloccano l'accesso a) tutti i tuoi file importanti, utilizzando una chiave di accesso che tengono per sé dopo che il danno è stato fatto.
Gestiscono anche una o più "pagine di pagamento" del dark web in cui le vittime, in parole povere, vanno a pagare i soldi del ricatto in cambio di quelle chiavi di accesso, consentendo così loro di sbloccare i loro computer bloccati e far ripartire le loro aziende.
Crimeware come servizio
Questo nucleo centrale è circondato da un gruppo possibilmente ampio e in continua evoluzione di “affiliati” – partner nel crimine che irrompono nelle reti di altre persone per impiantare i “programmi di attacco” della banda principale il più ampiamente e profondamente possibile.
Il loro obiettivo, motivato da una "commissione" che può arrivare fino all'80% del totale del ricatto pagato, è quello di creare un'interruzione così diffusa e improvvisa per un'attività da poter non solo richiedere un pagamento di estorsione da far venire l'acquolina in bocca, ma anche lasciare alla vittima poca scelta se non quella di pagare.
Questa disposizione è generalmente nota come RaaS or Caas, abbreviazione di ransomware (o crimeware) come servizio, un nome che ricorda ironicamente che il mondo criminale informatico è felice di copiare il modello di affiliazione o franchising utilizzato da molte aziende legittime.
Recuperare senza pagare
Esistono tre modi principali in cui le vittime possono rimettere in carreggiata le proprie attività senza pagare dopo un attacco di blocco dei file a livello di rete riuscito:
- Avere un piano di recupero solido ed efficiente. In generale, ciò significa non solo disporre di un processo di prim'ordine per eseguire i backup, ma anche sapere come mantenere almeno una copia di backup di tutto al sicuro dagli affiliati ransomware (a loro non piace niente di meglio che trovare e distruggere i tuoi backup online prima di scatenare la fase finale del loro attacco). È inoltre necessario aver fatto pratica su come ripristinare quei backup in modo affidabile e abbastanza rapido da essere una valida alternativa al semplice pagamento comunque.
- Trova un difetto nel processo di blocco dei file utilizzato dagli aggressori. Di solito, i criminali ransomware "bloccano" i tuoi file crittografandoli con lo stesso tipo di crittografia sicura che potresti usare tu stesso per proteggere il tuo traffico web o i tuoi backup. Di tanto in tanto, tuttavia, la banda principale commette uno o più errori di programmazione che potrebbero consentire di utilizzare uno strumento gratuito per "decifrare" la decrittazione e recuperare senza pagare. Tieni presente, tuttavia, che questo percorso verso il recupero avviene per fortuna, non per progettazione.
- Ottenere le password o le chiavi di ripristino effettive in qualche altro modo. Anche se questo è raro, ci sono diversi modi in cui può accadere, come: identificare un voltagabbana all'interno della banda che farà trapelare le chiavi per un attacco di coscienza o uno scatto di dispetto; trovare un errore di sicurezza della rete che consenta un contrattacco per estrarre le chiavi dai server nascosti dei criminali; o infiltrarsi nella banda e ottenere l'accesso sotto copertura ai dati necessari nella rete dei criminali.
L'ultimo di questi, infiltrazione, è quello che dice il Dipartimento di Giustizia stato in grado di fare per almeno alcune vittime di Hive dal luglio 2022, richieste di ricatto apparentemente in cortocircuito per un totale di oltre 130 milioni di dollari, relative a più di 300 attacchi individuali, in soli sei mesi.
Supponiamo che la cifra di 130 milioni di dollari sia basata sulle richieste iniziali degli aggressori; i truffatori di ransomware a volte finiscono per accettare pagamenti inferiori, preferendo prendere qualcosa piuttosto che niente, sebbene gli "sconti" offerti spesso sembrino ridurre i pagamenti solo da insopportabilmente vasti a incredibilmente enormi. La domanda media media basata sulle cifre di cui sopra è di $ 130 milioni/300, o quasi $ 450,000 per vittima.
Ospedali considerati obiettivi equi
Come sottolinea il DOJ, molte bande di ransomware in generale, e l'equipaggio di Hive in particolare, trattano tutte le reti come un gioco leale per il ricatto, attaccando organizzazioni finanziate con fondi pubblici come scuole e ospedali con lo stesso vigore che usano contro il società commerciali più ricche:
[I]l gruppo ransomware Hive […] ha preso di mira più di 1500 vittime in oltre 80 paesi in tutto il mondo, inclusi ospedali, distretti scolastici, società finanziarie e infrastrutture critiche.
Sfortunatamente, anche se infiltrarsi in una moderna banda criminale informatica potrebbe darti informazioni fantastiche sui TTP della banda (strumenti, tecniche e procedure), e – come in questo caso – ti danno la possibilità di interrompere le loro operazioni sovvertendo il processo di ricatto su cui si basano quelle richieste di estorsione da far venire l'acquolina in bocca...
…conoscere anche la password dell'amministratore di una banda per l'infrastruttura IT basata sul dark web dei criminali in genere non ti dice dove si trova quell'infrastruttura.
Pseudoanonimato bidirezionale
Uno degli aspetti grandi/terribili del darkweb (a seconda del motivo per cui lo stai usando e da che parte stai), in particolare il Tor (Corto per il router a cipolla) che è ampiamente favorita dai criminali ransomware di oggi, è ciò che si potrebbe chiamare il suo pseudoanonimato bidirezionale.
Il darkweb non solo protegge l'identità e la posizione degli utenti che si connettono ai server ospitati su di esso, ma nasconde anche la posizione dei server stessi ai client che visitano.
Il server (per la maggior parte, almeno) non sa chi sei quando accedi, il che è ciò che attrae clienti come affiliati al crimine informatico e aspiranti acquirenti di droghe del dark web, perché tendono a pensare che saranno in grado di tagliare e scappare in sicurezza, anche se gli operatori principali della banda vengono arrestati.
Allo stesso modo, gli operatori di server non autorizzati sono attratti dal fatto che anche se i loro clienti, affiliati o amministratori di sistema vengono arrestati, trasformati o violati dalle forze dell'ordine, non saranno in grado di rivelare chi sono i membri principali della banda o dove si trovano. ospitare le loro attività online dannose.
Abbandono finalmente
Bene, sembra che il motivo del comunicato stampa del Dipartimento di Giustizia di ieri sia che gli investigatori dell'FBI, con l'assistenza delle forze dell'ordine sia in Germania che nei Paesi Bassi, hanno ora identificato, localizzato e sequestrato i server darkweb che la banda Hive stava usando:
Infine, il dipartimento ha annunciato oggi[2023-01-26] che, in coordinamento con le forze dell'ordine tedesche (la polizia criminale federale tedesca e il quartier generale della polizia di Reutlingen-CID Esslingen) e l'Unità criminale ad alta tecnologia dei Paesi Bassi, ha preso il controllo del server e siti Web che Hive utilizza per comunicare con i suoi membri, interrompendo la capacità di Hive di attaccare ed estorcere vittime.
Cosa fare?
Abbiamo scritto questo articolo per applaudire l'FBI e i suoi partner delle forze dell'ordine in Europa per essere arrivati fin qui...
…indagando, infiltrandosi, esplorando e infine colpendo per far implodere l'attuale infrastruttura di questo famigerato gruppo di ransomware, con le loro richieste di ricatto da mezzo milione di dollari in media e la loro disponibilità a far fuori gli ospedali con la stessa prontezza con cui inseguono chiunque la rete di un altro.
Sfortunatamente, probabilmente hai già sentito il cliché che il crimine informatico detesta il vuoto, e questo è tristemente vero per gli operatori di ransomware tanto quanto per qualsiasi altro aspetto della criminalità online.
Se i membri principali della banda non vengono arrestati, potrebbero semplicemente restare nascosti per un po', e poi riapparire sotto un nuovo nome (o forse anche far rivivere deliberatamente e arrogantemente il loro vecchio "marchio") con nuovi server, accessibili ancora una volta sul darkweb ma in una posizione nuova e ora sconosciuta.
Oppure altre bande di ransomware aumenteranno semplicemente le loro operazioni, sperando di attirare alcuni degli "affiliati" che sono stati improvvisamente lasciati senza il loro flusso di entrate lucrativamente illegale.
In ogni caso, le rimozioni come questa sono qualcosa di cui abbiamo urgente bisogno, che dobbiamo rallegrare quando si verificano, ma è improbabile che possano intaccare più di una temporanea intaccatura della criminalità informatica nel suo complesso.
Per ridurre la quantità di denaro che i criminali ransomware stanno risucchiando dalla nostra economia, dobbiamo mirare alla prevenzione del crimine informatico, non solo alla cura.
Rilevare, rispondere e quindi prevenire potenziali attacchi ransomware prima che inizino, o mentre si stanno svolgendo, o anche all'ultimo momento, quando i truffatori tentano di scatenare il processo finale di codifica dei file attraverso la tua rete, è sempre meglio del lo stress di cercare di riprendersi da un vero e proprio attacco.
Nei panni del signor Miagi, famoso per Karate Kid, consapevolmente osservato, "Il modo migliore per evitare il pugno: non essere lì."
ASCOLTA ORA: UN GIORNO NELLA VITA DI UN COMBATTENTE DEL CYBERCRIME
Parla con Paul Ducklin Pietro Mackenzie, Director of Incident Response di Sophos, in una sessione di sicurezza informatica che ti allarmerà, ti divertirà e ti istruirà, il tutto in egual misura.
Scopri come fermare i criminali ransomware prima che ti fermino! (Completo trascrizione a disposizione.)
Fare clic e trascinare sulle onde sonore sottostanti per passare a qualsiasi punto. Puoi anche ascolta direttamente su Soundcloud.
Hai poco tempo o esperienza per occuparti della risposta alle minacce alla sicurezza informatica? Preoccupato che la sicurezza informatica finisca per distrarti da tutte le altre cose che devi fare? Non sei sicuro di come rispondere ai rapporti sulla sicurezza dei dipendenti che sono sinceramente desiderosi di aiutare?
Scopri Rilevamento e risposta gestiti da Sophos:
Ricerca, rilevamento e risposta alle minacce 24 ore su 7, XNUMX giorni su XNUMX ▶
- Distribuzione di contenuti basati su SEO e PR. Ricevi amplificazione oggi.
- Platoblockchain. Web3 Metaverse Intelligence. Conoscenza amplificata. Accedi qui.
- Fonte: https://nakedsecurity.sophos.com/2023/01/27/hive-ransomware-servers-shut-down-at-last-says-fbi/
- 000
- 1
- 2022
- a
- capacità
- capace
- Chi siamo
- sopra
- Assoluta
- accesso
- accessibile
- incidente
- operanti in
- attività
- Affiliazione
- affiliati
- Dopo shavasana, sedersi in silenzio; saluti;
- contro
- allarme
- Tutti
- Consentire
- già
- alternativa
- Sebbene il
- sempre
- quantità
- ed
- ha annunciato
- anonimia
- chiunque
- in giro
- disposizione
- arrestato
- articolo
- aspetto
- aspetti
- Assistenza
- associato
- attacco
- Attaccare
- attacchi
- attratto
- attrae
- autore
- auto
- disponibile
- media
- precedente
- sfondo
- background-image
- di riserva
- backup
- basato
- perché
- prima
- sotto
- Meglio
- Ricatto
- Bloccare
- sistema
- Parte inferiore
- Rompere
- ufficio
- affari
- aziende
- acquirenti
- chiamata
- Può ottenere
- che
- Custodie
- centro
- certamente
- possibilità
- scegliere
- clienti
- Chiudi
- colore
- comunicare
- Aziende
- computer
- Connettiti
- considerato
- di controllo
- coordinazione
- Nucleo
- paesi
- coprire
- creare
- Creazione
- crimine
- Azione Penale
- criminali
- critico
- Infrastruttura critica
- Crooks
- crittografia
- cura
- Corrente
- cybercrime
- CIBERCRIMINALE
- i criminali informatici
- Cybersecurity
- rete oscura
- dati
- giorno
- Giorni
- Richiesta
- richieste
- Shirts Department
- Dipartimento di Giustizia
- Dipartimento di Giustizia (DoJ)
- Dipendente
- Design
- distruggere
- rivelazione
- Direttore
- Dsiplay
- Rottura
- non
- fare
- DoJ
- dollari
- giù
- droga
- ogni
- economia
- educare
- efficiente
- Di qualcun'altro
- dipendenti
- applicazione
- abbastanza
- Europa
- Anche
- in continua evoluzione
- qualunque cosa
- competenza
- estorsione
- estratto
- fiera
- FAME
- fantastico
- fbi
- Federale
- Federal Bureau of Investigation
- figura
- Cifre
- Compila il
- File
- finale
- fase finale
- Infine
- finanziario
- Trovare
- ricerca
- Aziende
- in forma
- difetto
- Franchigia
- Gratis
- da
- congelati
- pieno
- gioco
- banda
- Generale
- generalmente
- Tedesco
- Germania
- ottenere
- ottenere
- Dare
- Go
- scopo
- Gruppo
- Gruppo
- hacked
- accadere
- accade
- contento
- avendo
- sentito
- altezza
- Aiuto
- nascosto
- Alta
- Alveare
- tenere
- sperando
- ospedali
- host
- ospitato
- librarsi
- Come
- Tutorial
- Tuttavia
- HTML
- HTTPS
- Enorme
- Caccia
- identificato
- identificazione
- identità
- Identità
- importante
- in
- incidente
- risposta agli incidenti
- Compreso
- individuale
- Infrastruttura
- inizialmente
- intuizioni
- indagine
- Investigatori
- coinvolgere
- IT
- Luglio
- giustizia
- Acuto
- mantenere
- Le
- Tasti
- Ragazzo
- Sapere
- Conoscere
- conosciuto
- grandi
- maggiormente
- Cognome
- Legge
- applicazione della legge
- perdita
- Lasciare
- Vita
- piccolo
- collocato
- località
- posizioni
- serrata
- Basso
- fortuna
- Principale
- FA
- Fare
- gestito
- molti
- Margine
- max-width
- si intende
- misurare
- Utenti
- semplicemente
- forza
- milione
- milioni di dollari
- modello
- moderno
- momento
- soldi
- mese
- Scopri di più
- maggior parte
- motivato
- Sicurezza nuda
- Nome
- il
- Bisogno
- di applicazione
- Olanda
- Rete
- Sicurezza di rete
- reti
- New
- normale
- segnatamente
- famigerato
- offerto
- Vecchio
- ONE
- online
- Operazioni
- Operatori
- minimo
- Organizzazioni
- Altro
- altrimenti
- proprio
- pagato
- parte
- particolare
- partner
- Password
- Le password
- sentiero
- Paga le
- pagamento
- Pagamento
- pagamenti
- persone
- Forse
- fase
- piano
- Platone
- Platone Data Intelligence
- PlatoneDati
- punto
- punti
- Polizia
- posizione
- possibile
- Post
- potenziale
- stampa
- Comunicati Stampa
- prevenzione
- Frodi
- probabilmente
- processi
- Programmazione
- Programmi
- punch
- metti
- rapidamente
- rotaie
- Rampa
- ransomware
- Attacchi ransomware
- RARO
- ragione
- Recuperare
- recupero
- ridurre
- rilasciare
- Report
- Rispondere
- risposta
- ritorno
- rivelare
- rivelando
- Le vendite
- ravvivare
- robusto
- Correre
- running
- sicura
- tranquillamente
- stesso
- di moto
- Scuole
- sicuro
- fissaggio
- problemi di
- sembra
- sequestrati
- Sessione
- alcuni
- Scudo
- Corti
- fermare
- semplicemente
- da
- SIX
- Sei mesi
- So
- solido
- alcuni
- qualcosa
- parlando
- dispetto
- primavera
- si
- inizia a
- iniziato
- soggiorno
- Fermare
- ruscello
- stress
- di successo
- tale
- improvviso
- circondato
- SVG
- Fai
- trattativa
- mirata
- Tech
- tecniche
- temporaneo
- Il
- paesi Bassi
- il mondo
- loro
- si
- cose
- minaccia
- tre
- tempo
- a
- di oggi
- strumenti
- top
- Totale
- traffico
- transizione
- trasparente
- trattare
- vero
- Turned
- tipicamente
- per
- dispiegarsi
- unità
- sguinzagliare
- sbloccare
- URL
- us
- US Department of Justice
- uso
- utenti
- generalmente
- Fisso
- vitale
- Vittima
- vittime
- modi
- sito web
- Traffico Web
- siti web
- Che
- se
- quale
- while
- OMS
- ampiamente
- molto diffuso
- volere
- Buona volontà
- senza
- mondo
- preoccupato
- scrittore
- Trasferimento da aeroporto a Sharm
- te stesso
- zefiro
