Hive ランサムウェア サーバーがついにシャットダウン、FBI が発表

Hive ランサムウェア サーバーがついにシャットダウン、FBI が発表

タイムスタンプ:27年2023月12日58:XNUMX
ソースノード: 1924152
by ネイキッドセキュリティライター

XNUMXヶ月前、 従った 米国司法省 (DOJ) に対して、連邦捜査局 (FBI) は Hive ランサムウェア ギャングに侵入し、ファイルがスクランブルされた被害者の復号化キーを「盗み取り」始めました。

残念なことに、ほぼ確実に認識されているように、最近のランサムウェア攻撃には通常、関連する XNUMX つのサイバー犯罪者グループが関与しています。

これらのグループは、多くの場合、ニックネームでのみお互いを「認識」し、匿名ツールを使用してオンラインでのみ「会って」います。 実際に お互いの実際の身元と場所を知っている (または明らかにする、偶然か意図的かを問わず)。

コア ギャングのメンバーは主にバックグラウンドにとどまり、損害が発生した後も保持しているアクセス キーを使用して、すべての重要なファイルをスクランブル (またはアクセスをブロック) する悪意のあるプログラムを作成します。

彼らはまた、XNUMX つまたは複数のダークウェブの「支払いページ」を運営しており、被害者は大まかに言えば、これらのアクセス キーと引き換えに脅迫金を支払うことで、凍結したコンピューターのロックを解除し、会社を再び運営できるようにします。

サービスとしてのクライムウェア

このコアグループは、おそらく大規模で絶え間なく変化する「アフィリエイト」のグループに囲まれています。これは、コアギャングの「攻撃プログラム」を可能な限り広く深く埋め込むために、他の人々のネットワークに侵入する犯罪のパートナーです。

彼らの目標は、支払われた恐喝総額の 80% にも上る可能性がある「手数料」によって動機付けられており、ビジネスに広範囲かつ突然の混乱を引き起こし、目を潤ませるような恐喝の支払いを要求するだけでなく、犠牲者にほとんど選択肢を残さず、支払うしかない。

この配置は、一般的に次のように知られています。 RaaS or CaaS、の略 ランサムウェア (または クライムウェア) サービスとしてという名前は、サイバー犯罪者の裏社会が、多くの正当なビジネスで使用されているアフィリエイトやフランチャイズ モデルを喜んで模倣していることを皮肉にも思い起こさせます。

無課金で復活

ネットワーク全体のファイル ロックアウト攻撃が成功した後、被害者が支払いをせずにビジネスを軌道に乗せる主な方法は XNUMX つあります。

  • 堅牢で効率的な復旧計画を立てる。 一般的に言えば、これは、バックアップを作成するための最高のプロセスを持つだけでなく、ランサムウェアのアフィリエイトから安全にすべてのバックアップ コピーを少なくとも XNUMX つ保持する方法を知っていることを意味します (彼らは、オンライン バックアップを見つけて破壊することほど好きなことはありません)。彼らの攻撃の最終段階)。 また、これらのバックアップを確実かつ迅速に復元する方法を練習する必要があります。そうすることは、とにかく支払うだけの実行可能な代替手段です.
  • 攻撃者が使用するファイル ロックアウト プロセスの欠陥を見つけます。 通常、ランサムウェア詐欺師は、Web トラフィックや独自のバックアップを保護するときに使用するのとまったく同じ種類の安全な暗号化を使用してファイルを暗号化することにより、ファイルを「ロック」します。 ただし、場合によっては、コア ギャングが XNUMX つまたは複数のプログラミング上の失敗を犯し、無料のツールを使用して復号化を「クラック」し、料金を支払わずに回復できる場合があります。 ただし、この回復への道のりは、意図的なものではなく、運によるものであることに注意してください。
  • 他の方法で実際の回復パスワードまたはキーを取得します。 これはまれですが、次のようないくつかの方法で発生する可能性があります。 ネットワークセキュリティの失敗を発見し、反撃により詐欺師自身の隠しサーバーからキーを抽出することができます。 または、ギャングに潜入して、犯罪者のネットワークで必要なデータへの秘密のアクセスを取得します。

これらの最後の、 浸潤、司法省が言っていることです できた 2022 年 130 月以降、少なくとも一部の Hive 被害者は、わずか 300 か月で XNUMX 件を超える個別の攻撃に関連して、総額 XNUMX 億 XNUMX 万ドル以上の恐喝の要求を明らかに回避しています。

130 億 130 万ドルという数字は、攻撃者の最初の要求に基づいていると想定しています。 ランサムウェア詐欺師は、何もないよりは何かを受け取ることを好み、最終的に支払い額を下げることに同意することがあります。 上記の数値に基づく平均需要は 300 億 450,000 万ドル/XNUMX ドル、つまり被害者 XNUMX 人あたり XNUMX 万ドル近くになります。

公正な標的とみなされる病院

DOJ が指摘しているように、一般的に多くのランサムウェア ギャング、特に Hive の乗組員は、あらゆるネットワークを恐喝の公正なゲームとして扱い、学校や病院などの公的資金による組織を攻撃するのとまったく同じ勢いで攻撃しています。最も裕福な営利企業:

[T]he Hive ランサムウェア グループ […] は、病院、学区、金融会社、重要なインフラストラクチャなど、世界 1500 か国以上で 80 人以上の被害者を標的にしています。

残念ながら、現代のサイバー犯罪ギャングに潜入することで、ギャングの TTP に関する素晴らしい洞察が得られるかもしれませんが (ツール、テクニック、手順)、そして、この場合のように、目を見張るような恐喝の要求が基づいている恐喝プロセスを覆すことによって、彼らの活動を混乱させるチャンスをあなたに与えます…

…犯罪者のダークウェブ ベースの IT インフラストラクチャに対するギャング管理者のパスワードを知っていても、通常、そのインフラストラクチャがどこに基づいているかはわかりません。

双方向の疑似匿名性

ダークウェブの素晴らしい/恐ろしい側面の XNUMX つ (それを使用している理由と、どちらの側にいるかによって異なります)、特に Torの (の略 オニオンルーター) ネットワークは、今日のランサムウェア犯罪者に広く支持されており、双方向の疑似匿名性と呼ばれるものです。

ダークウェブは、それにホストされているサーバーに接続するユーザーの身元と場所を保護するだけでなく、アクセスするクライアントからサーバー自体の場所を隠します.

サーバーは(少なくともほとんどの場合)ログイン時にあなたが誰であるかを知りません。これが、サイバー犯罪のアフィリエイトやダークウェブの麻薬購入者などのクライアントを引き付ける理由です。コアギャングのオペレーターが逮捕されても、安全にカットアンドランできます。

同様に、不正なサーバー オペレーターは、クライアント、アフィリエイト、または自社のシステム管理者が法執行機関によって逮捕、転向、またはハッキングされたとしても、コア ギャングのメンバーが誰であるか、またはどこにいるのかを明らかにできないという事実に惹かれます。悪意のあるオンライン活動をホストします。

ついにテイクダウン

昨日の DOJ プレス リリースの理由は、FBI 捜査官が、ドイツとオランダの両方の法執行機関の支援を受けて、Hive ギャングが使用していたダークウェブ サーバーを特定し、位置を突き止め、押収したためのようです。

最後に、部門は本日 [2023-01-26]、ドイツの法執行機関 (ドイツ連邦刑事警察およびロイトリンゲン警察本部 - CID エスリンゲン) およびオランダ国立ハイテク犯罪ユニットと協力して、 Hive がメンバーとの通信に使用するサーバーや Web サイトを攻撃し、被害者を攻撃したり恐喝したりする Hive の機能を妨害します。

何をするか?

この記事を書いたのは、FBI とヨーロッパの法執行機関のパートナーがここまで到達したことを称賛するためです…

…調査、潜入、偵察、そして最終的に攻撃を行い、この悪名高いランサムウェア クルーの現在のインフラストラクチャを崩壊させようとしています。彼らの平均 XNUMX 万ドルの脅迫要求と、誰かを追うのと同じくらい簡単に病院を破壊しようとする彼らの意欲によります。他人のネットワーク。

残念ながら、あなたはおそらくすでに決まり文句を聞いたことがあるでしょう。 サイバー犯罪は空白を嫌う、悲しいことに、それはオンライン犯罪の他の側面と同様に、ランサムウェア オペレーターにも当てはまります。

コア ギャングのメンバーが逮捕されない場合、彼らはしばらく身を潜めてから、新しいサーバーを使用して新しい名前で (または意図的かつ傲慢に古い「ブランド」を復活させて) 立ち上がる可能性があります。ダークウェブですが、新しい未知の場所にあります。

または、他のランサムウェア ギャングは、収益性の高い違法な収益源を突然失った「アフィリエイト」の一部を引き付けることを期待して、単純に活動を強化します。

いずれにせよ、このような削除は私たちが緊急に必要としているものであり、発生したときに応援する必要がありますが、それがサイバー犯罪全体に一時的な影響を与える可能性は低いです.

ランサムウェア詐欺師が私たちの経済から吸い上げている金額を減らすには、サイバー犯罪を単に治すだけでなく、防止することを目指す必要があります。

潜在的なランサムウェア攻撃が開始される前、展開されている間、または攻撃者がネットワーク全体で最終的なファイル スクランブル プロセスを解き放とうとしている最後の瞬間でさえ、潜在的なランサムウェア攻撃を検出して対応し、防御することは、常に優れています。実際の攻撃から回復しようとするストレス。

空手キッドで有名なMiagi氏として、 故意に指摘した, 「パンチを避ける最善の方法は、そこにいないことです。」

今すぐ聞く: サイバー犯罪者の XNUMX 日

ポール・ダックリンが語る ピーター・マッケンジー、ソフォスのインシデント対応担当ディレクターによるサイバーセキュリティ セッションで、皆さんに警鐘を鳴らし、楽しませ、教育します。

ランサムウェア詐欺師に止められる前に阻止する方法を学びましょう! (満杯 トランスクリプト 利用可能。)

下の音波をクリックしてドラッグし、任意のポイントにスキップします。 あなたもすることができます 直接聞く Soundcloudで。

サイバーセキュリティの脅威に対応するための時間や専門知識が不足していませんか? サイバーセキュリティのせいで、やらなければならない他のすべてのことから気が散ってしまうのではないかと心配していますか? 本当に助けたいと思っている従業員からのセキュリティレポートにどのように対応すればよいかわかりませんか?

詳細については、こちらから ソフォスが管理する検出と対応:
24時間年中無休の脅威のハンティング、検出、および対応  ▶

タイムスタンプ:

より多くの 裸のセキュリティ