Hive 랜섬웨어 서버가 마침내 종료되었다고 FBI가 밝혔습니다.

육 개월 전에, 따라 FBI(Federal Bureau of Investigation)는 미국 법무부(DOJ)에 Hive 랜섬웨어 갱단에 침투하여 파일이 스크램블된 피해자의 암호 해독 키를 "훔치기" 시작했습니다.

거의 확실하고 슬프게도 요즘 랜섬웨어 공격에는 일반적으로 두 개의 관련 사이버 범죄자 그룹이 관련되어 있습니다.

이러한 그룹은 종종 별명으로만 서로를 "알고" 익명성 도구를 사용하여 온라인에서만 "만납니다". 실제로 서로의 실생활 신원 및 위치를 아는 것(우발적이든 고의적이든 관계없이 공개).

핵심 갱단 구성원은 대부분 백그라운드에 머물며 피해가 발생한 후에도 자신이 보관하는 액세스 키를 사용하여 모든 중요한 파일을 스크램블(또는 액세스를 차단)하는 악성 프로그램을 생성합니다.

그들은 또한 하나 이상의 다크웹 "결제 페이지"를 운영합니다. 이 페이지에서 대략적으로 말하면 피해자는 액세스 키에 대한 대가로 협박 돈을 지불하여 고정된 컴퓨터의 잠금을 해제하고 회사를 다시 운영할 수 있습니다.

크라임웨어 서비스

이 핵심 그룹은 가능한 한 넓고 깊게 핵심 갱단의 "공격 프로그램"을 이식하기 위해 다른 사람의 네트워크에 침입하는 범죄 파트너인 크고 끊임없이 변화하는 "계열사" 그룹으로 둘러싸여 있습니다.

지불된 총 협박의 80%에 달할 수 있는 "수수료"에 동기를 부여한 그들의 목표는 비즈니스에 광범위하고 갑작스러운 혼란을 야기하여 눈에 띄는 갈취 지불을 요구할 수 있을 뿐만 아니라 선택의 여지가 거의 없지만 지불하도록 피해자를 남겨 둡니다.

이 배열은 일반적으로 다음과 같이 알려져 있습니다. RaaS or CaaS, 짧은 랜섬 (또는 크라임웨어) 서비스로, 사이버 범죄 지하 세계가 많은 합법적인 비즈니스에서 사용하는 제휴 또는 프랜차이즈 모델을 기꺼이 복사한다는 것을 아이러니하게 상기시키는 이름입니다.

지불하지 않고 복구

피해자가 네트워크 전체 파일 잠금 공격에 성공한 후 비용을 지불하지 않고 비즈니스를 다시 궤도에 올릴 수 있는 세 가지 주요 방법이 있습니다.

• 강력하고 효율적인 복구 계획을 세우십시오. 일반적으로 이것은 백업을 만들기 위한 최고 수준의 프로세스를 가질 뿐만 아니라 랜섬웨어 계열사로부터 모든 항목의 백업 복사본을 하나 이상 안전하게 유지하는 방법을 알고 있음을 의미합니다(그들은 실행하기 전에 온라인 백업을 찾아 파괴하는 것보다 더 좋은 것은 없습니다. 공격의 마지막 단계). 또한 이러한 백업을 안정적이고 신속하게 복원하는 방법을 연습하여 어쨌든 단순히 비용을 지불하는 것보다 실행 가능한 대안이 될 수 있습니다.
• 공격자가 사용하는 파일 잠금 프로세스의 결함을 찾습니다. 일반적으로 랜섬웨어 사기꾼은 웹 트래픽이나 자체 백업을 보호할 때 사용할 수 있는 것과 동일한 종류의 보안 암호화로 파일을 암호화하여 파일을 "잠급니다". 그러나 때때로 핵심 집단이 하나 이상의 프로그래밍 실수를 저질러 무료 도구를 사용하여 암호 해독을 "크래킹"하고 비용을 지불하지 않고 복구할 수 있습니다. 그러나 이 복구 경로는 의도적으로가 아니라 운에 의해 발생한다는 점에 유의하십시오.
• 다른 방법으로 실제 복구 암호 또는 키를 확보하십시오. 드물긴 하지만 다음과 같은 몇 가지 방법이 있습니다. 사기꾼의 숨겨진 서버에서 키를 추출하기 위해 역습을 허용하는 네트워크 보안 실수를 찾습니다. 또는 갱단에 잠입하여 범죄자 네트워크에서 필요한 데이터에 비밀리에 액세스합니다.

그 중 마지막, 침투, 법무부가 말하는 것입니다. 할 수 있게 되었다 2022년 130월 이후 적어도 일부 Hive 피해자의 경우 단 300개월 만에 XNUMX건 이상의 개별 공격과 관련하여 총 XNUMX억 XNUMX천만 달러 이상을 요구하는 단락 협박으로 보입니다.

우리는 130억 130천만 달러라는 수치가 공격자의 초기 요구 사항을 기반으로 한다고 가정합니다. 제공되는 "할인"이 지불액을 감당할 수 없을 정도로 막대한 수준에서 엄청나게 큰 수준으로 줄이는 것처럼 보이지만 랜섬웨어 사기꾼은 때때로 지불액을 낮추는 데 동의하고 아무것도 하지 않는 것보다 무언가를 취하는 것을 선호합니다. 위의 수치를 기반으로 한 평균 평균 수요는 $300M/450,000 또는 피해자당 $XNUMX에 가깝습니다.

공정한 대상으로 간주되는 병원

법무부가 지적한 바와 같이, 일반적으로 많은 랜섬웨어 갱단, 특히 Hive 크루는 모든 네트워크를 협박을 위한 공정한 게임으로 간주하고 학교 및 병원과 같은 공적 자금 지원 조직을 공격하는 것과 동일한 강도로 공격합니다. 가장 부유한 상업 회사:

[T]he Hive 랜섬웨어 그룹은 [...] 병원, 학군, 금융 회사 및 중요 인프라를 포함하여 전 세계 1500개국 이상에서 80명 이상의 피해자를 표적으로 삼았습니다.

불행하게도 현대 사이버 범죄 조직에 잠입하면 조직의 TTP에 대한 환상적인 통찰력을 얻을 수 있습니다.도구, 기술 및 절차), 그리고 – 이 경우와 같이 – 눈에 띄는 강탈 요구의 기반이 되는 협박 프로세스를 파괴함으로써 그들의 운영을 방해할 수 있는 기회를 제공합니다…

...범죄자의 다크웹 기반 IT 인프라에 대한 갱단 관리자의 암호를 안다고 해서 일반적으로 해당 인프라가 어디에 기반을 두고 있는지 알 수 없습니다.

양방향 가명성

다크웹의 위대하고/끔찍한 측면 중 하나(이를 사용하는 이유와 어느 편에 있느냐에 따라 다름), 특히 바위 산 ( 양파 라우터) 오늘날의 랜섬웨어 범죄자들이 널리 선호하는 네트워크는 양방향 의사 익명성이라고 할 수 있습니다.

다크웹은 자신이 호스팅하는 서버에 연결하는 사용자의 신원과 위치를 보호할 뿐만 아니라 방문하는 클라이언트로부터 서버 자체의 위치를 ​​숨깁니다.

서버는(적어도 대부분의 경우) 로그인할 때 사용자가 누구인지 알지 못합니다. 이는 사이버 범죄 계열사 및 다크웹 마약 구매자가 될 것 같은 클라이언트를 끌어들이는 것입니다. 핵심 갱 운영자가 체포 되더라도 안전하게 자르고 달릴 수 있습니다.

마찬가지로, 불량 서버 운영자는 클라이언트, 계열사 또는 자체 시스템 관리자가 법 집행 기관에 의해 체포되거나 변질되거나 해킹되더라도 핵심 갱단 구성원이 누구인지 또는 어디에 있는지 밝힐 수 없다는 사실에 매력을 느낍니다. 악의적인 온라인 활동을 호스트합니다.

드디어 게시 중단

음, 어제 DOJ 보도 자료의 이유는 FBI 수사관이 독일과 네덜란드의 법 집행 기관의 도움을 받아 이제 Hive 갱단이 사용하고 있던 다크웹 서버를 식별, 위치 파악 및 압수했기 때문인 것 같습니다.

마지막으로, 부서는 오늘[2023-01-26] 독일 법 집행 기관(독일 연방 형사 경찰 및 로이틀링겐 경찰 본부-CID Esslingen) 및 네덜란드 국립 하이테크 범죄 부서와 협력하여 Hive가 구성원과 통신하는 데 사용하는 서버 및 웹 사이트는 Hive가 피해자를 공격하고 갈취하는 기능을 방해합니다.

무엇을해야 하는가?

우리는 FBI와 유럽의 법 집행 파트너에게 여기까지 도달한 것에 박수를 보내기 위해 이 기사를 썼습니다.

...조사, 잠입, 정찰, 마지막으로 이 악명 높은 랜섬웨어 크루의 현재 인프라를 폭파하기 위해 평균 XNUMX만 달러의 협박을 요구하고 누구를 쫓는 것처럼 쉽게 병원을 제거하려는 의지를 가지고 있습니다. 다른 네트워크.

불행히도, 당신은 이미 진부한 표현을 들었을 것입니다. 사이버 범죄는 진공을 싫어합니다, 온라인 범죄의 다른 측면과 마찬가지로 랜섬웨어 운영자에게도 이는 슬프게도 사실입니다.

핵심 갱단원이 체포되지 않으면 잠시 동안 숨어 있다가 새 이름으로 나타나(또는 고의적이고 거만하게 이전 "브랜드"를 되살리기까지) 새 서버에서 다시 액세스할 수 있습니다. darkweb이지만 새롭고 알려지지 않은 위치에 있습니다.

또는 다른 랜섬웨어 갱단은 불법적인 수익원 없이 갑자기 떠난 일부 "계열사"를 유치하기 위해 단순히 활동을 강화할 것입니다.

어느 쪽이든, 이와 같은 게시 중단은 우리에게 시급히 필요한 것이며, 발생하면 응원해야 하지만 전체 사이버 범죄에 일시적인 흠집 이상을 줄 것 같지는 않습니다.

랜섬웨어 사기꾼들이 우리 경제에서 빨아들이는 돈의 양을 줄이려면 단순한 치료가 아닌 사이버 범죄 예방을 목표로 해야 합니다.

잠재적인 랜섬웨어 공격이 시작되기 전에, 또는 전개되는 동안 또는 사기꾼이 네트워크를 통해 최종 파일 스크램블링 프로세스를 실행하려고 시도하는 마지막 순간에 감지, 대응 및 방지하는 것이 항상 더 낫습니다. 실제 공격에서 회복하려는 스트레스.

Karate Kid로 유명한 Mr Miagi로서, 고의로 언급, "펀치를 피하는 가장 좋은 방법 - 거기에 있지 마세요."

지금 듣기: 사이버 범죄 전사의 하루

폴 더클린이 이야기하는 피터 매켄지, Sophos의 사고 대응 책임자, 사이버 보안 세션에서 귀하를 놀라게 하고, 즐겁게 하고, 교육할 것입니다.

그들이 당신을 중지하기 전에 랜섬웨어 사기꾼을 중지하는 방법을 알아보십시오! (가득한 성적 증명서 사용 가능.)

사이버 보안 위협 대응을 처리할 시간이나 전문성이 부족합니까? 사이버 보안으로 인해 해야 할 다른 모든 작업에 주의가 산만해질까 봐 걱정되십니까? 진정으로 도움을 주고자 하는 직원의 보안 보고에 어떻게 대응해야 할지 잘 모르시겠습니까?

전단지에 포함된 링크에 대해 더 알아보기 Sophos 관리형 탐지 및 대응:
연중무휴 24시간 위협 사냥, 탐지 및 대응  ▶

• SEO 기반 콘텐츠 및 PR 배포. 오늘 증폭하십시오.
• 플라토 블록체인. Web3 메타버스 인텔리전스. 지식 증폭. 여기에서 액세스하십시오.
• 출처: https://nakedsecurity.sophos.com/2023/01/27/hive-ransomware-servers-shut-down-at-last-says-fbi/