Zes maanden geleden, volgens Volgens het Amerikaanse ministerie van Justitie (DOJ) infiltreerde het Federal Bureau of Investigation (FBI) de Hive-ransomwarebende en begon het de decoderingssleutels terug te stelen voor slachtoffers van wie de bestanden waren gecodeerd.
Zoals u vrijwel zeker en helaas weet, zijn bij ransomware-aanvallen tegenwoordig meestal twee verwante groepen cybercriminelen betrokken.
Deze groepen 'kennen' elkaar vaak alleen via bijnamen en 'ontmoeten' elkaar alleen online, waarbij ze anonimiteitstools gebruiken om te voorkomen werkelijk elkaars echte identiteiten en locaties kennen (of onthullen, per ongeluk of ontwerp).
De kernbendeleden blijven grotendeels op de achtergrond en maken kwaadaardige programma's die al je belangrijke bestanden door elkaar gooien (of anderszins de toegang daartoe blokkeren), met behulp van een toegangssleutel die ze voor zichzelf houden nadat de schade is aangericht.
Ze beheren ook een of meer 'betaalpagina's' op het darkweb waar slachtoffers, losjes gesproken, chantagegeld gaan betalen in ruil voor die toegangssleutels, waardoor ze hun bevroren computers kunnen ontgrendelen en hun bedrijven weer aan de gang kunnen krijgen.
Crimeware-as-a-Service
Deze kerngroep wordt omringd door een mogelijk grote en steeds veranderende groep 'affiliates' - partners in crime die inbreken in andermans netwerken om de 'aanvalsprogramma's' van de kernbende zo wijd en diep mogelijk te implanteren.
Hun doel, gemotiveerd door een "commissievergoeding" die kan oplopen tot 80% van de totale betaalde chantage, is om zo'n wijdverspreide en plotselinge verstoring van een bedrijf te veroorzaken dat ze niet alleen een oogstrelende afpersing kunnen eisen, maar ook om het slachtoffer weinig andere keus te laten dan te betalen.
Deze regeling is algemeen bekend als RaaS or CaaS, kort voor ransomware (of misdaadsoftware) als een service, een naam die er ironisch aan herinnert dat de cybercriminele onderwereld graag het affiliate- of franchisemodel kopieert dat door veel legitieme bedrijven wordt gebruikt.
Herstellen zonder te betalen
Er zijn drie belangrijke manieren waarop slachtoffers hun bedrijf weer op de rails kunnen krijgen zonder te betalen na een succesvolle netwerkbrede file-lockout-aanval:
- Zorg voor een robuust en efficiënt herstelplan. Over het algemeen betekent dit niet alleen dat je een eersteklas proces hebt voor het maken van back-ups, maar ook dat je weet hoe je ten minste één back-up van alles veilig kunt houden voor de aan ransomware gelieerde partijen (ze doen niets liever dan je online back-ups vinden en vernietigen voordat de laatste fase van hun aanval). U moet ook hebben geoefend hoe u die back-ups betrouwbaar en snel genoeg kunt herstellen, zodat dit een haalbaar alternatief is voor gewoon betalen.
- Vind een fout in het bestandsvergrendelingsproces dat door de aanvallers wordt gebruikt. Gewoonlijk "vergrendelen" ransomware-boeven uw bestanden door ze te versleutelen met dezelfde soort veilige cryptografie die u zelf zou kunnen gebruiken bij het beveiligen van uw webverkeer of uw eigen back-ups. Af en toe maakt de kernbende echter een of meer programmeerblunders waardoor u een gratis tool kunt gebruiken om de decodering te "kraken" en te herstellen zonder te betalen. Houd er echter rekening mee dat dit pad naar herstel door geluk wordt bereikt, niet door opzet.
- Krijg op een andere manier de daadwerkelijke herstelwachtwoorden of -sleutels in handen. Hoewel dit zeldzaam is, zijn er verschillende manieren waarop het kan gebeuren, zoals: het identificeren van een overloper binnen de bende die de sleutels zal lekken in een vlaag van geweten of een uitbarsting van wrok; het vinden van een netwerkbeveiligingsblunder die een tegenaanval mogelijk maakt om de sleutels van de eigen verborgen servers van de boeven te halen; of infiltreren in de bende en undercover toegang krijgen tot de benodigde gegevens in het criminele netwerk.
De laatste hiervan, infiltratie, is wat de DOJ zegt dat het is hebben kunnen doen voor ten minste enkele Hive-slachtoffers sinds juli 2022, klaarblijkelijk kortsluitingschantage-eisen van in totaal meer dan $ 130 miljoen dollar, gerelateerd aan meer dan 300 individuele aanvallen, in slechts zes maanden.
We gaan ervan uit dat het cijfer van $ 130 miljoen gebaseerd is op de aanvankelijke eisen van de aanvallers; Ransomware-boeven gaan soms akkoord met lagere betalingen, waarbij ze liever iets nemen dan niets, hoewel de aangeboden "kortingen" de betalingen vaak lijken te verminderen van onbetaalbaar hoog tot oogstrelend hoog. De gemiddelde gemiddelde vraag op basis van de bovenstaande cijfers is $ 130 miljoen/300, of bijna $ 450,000 per slachtoffer.
Ziekenhuizen beschouwden eerlijke doelen
Zoals de DOJ opmerkt, behandelen veel ransomware-bendes in het algemeen, en de Hive-crew in het bijzonder, alle netwerken als een eerlijk spel voor chantage, waarbij ze door de overheid gefinancierde organisaties zoals scholen en ziekenhuizen aanvallen met precies dezelfde kracht die ze gebruiken tegen de rijkste commerciële bedrijven:
[D] e Hive-ransomwaregroep […] heeft zich gericht op meer dan 1500 slachtoffers in meer dan 80 landen over de hele wereld, waaronder ziekenhuizen, schooldistricten, financiële firma's en kritieke infrastructuur.
Helaas kan het infiltreren van een moderne cybercriminele bende je fantastische inzichten geven in de TTP's van de bende (hulpmiddelen, technieken en procedures), en – zoals in dit geval – geeft u de kans om hun operaties te verstoren door het chantageproces te ondermijnen waarop die oogstrelende afpersingseisen zijn gebaseerd...
… zelfs als je het wachtwoord van een bendebeheerder kent voor de op darkweb gebaseerde IT-infrastructuur van de criminelen, weet je over het algemeen niet waar die infrastructuur is gebaseerd.
Bidirectionele pseudo-anonimiteit
Een van de geweldige/verschrikkelijke aspecten van het darkweb (afhankelijk van waarom je het gebruikt en aan welke kant je staat), met name de Tor (kort voor de uienrouter) netwerk dat algemeen wordt begunstigd door hedendaagse ransomware-criminelen, is wat je de bidirectionele pseudo-anonimiteit zou kunnen noemen.
Het darkweb beschermt niet alleen de identiteit en locatie van de gebruikers die verbinding maken met servers die erop worden gehost, maar verbergt ook de locatie van de servers zelf voor de klanten die het bezoeken.
De server weet (althans voor het grootste deel) niet wie je bent wanneer je inlogt, wat klanten aantrekt, zoals cybercriminaliteitspartners en potentiële darkweb-drugskopers, omdat ze de neiging hebben om het gevoel te hebben dat ze in staat om veilig te schakelen, zelfs als de operators van de kernbende worden opgepakt.
Op dezelfde manier worden malafide serveroperators aangetrokken door het feit dat zelfs als hun klanten, gelieerde ondernemingen of eigen systeembeheerders worden opgepakt, aan de kant gezet of gehackt door wetshandhavers, ze niet in staat zullen zijn om te onthullen wie de belangrijkste bendeleden zijn of waar ze zijn. host hun kwaadaardige online activiteiten.
Eindelijk afschaffen
Het lijkt erop dat de reden voor het DOJ-persbericht van gisteren is dat FBI-onderzoekers, met de hulp van wetshandhavers in zowel Duitsland als Nederland, nu de darkweb-servers die de Hive-bende gebruikte, hebben geïdentificeerd, gelokaliseerd en in beslag genomen:
Ten slotte heeft de afdeling vandaag aangekondigd [2023-01-26] dat, in samenwerking met de Duitse wetshandhaving (de Duitse federale recherche en het politiebureau van Reutlingen - CID Esslingen) en de Nederlandse National High Tech Crime Unit, de controle over de servers en websites die Hive gebruikt om met haar leden te communiceren, waardoor het vermogen van Hive om slachtoffers aan te vallen en af te persen wordt verstoord.
Wat te doen?
We hebben dit artikel geschreven om de FBI en haar wetshandhavingspartners in Europa toe te juichen omdat ze zo ver zijn gekomen...
...onderzoeken, infiltreren, verkennen en uiteindelijk toeslaan om de huidige infrastructuur van deze beruchte ransomwareploeg te imploderen, met hun chantage-eisen van gemiddeld een half miljoen dollar, en hun bereidheid om ziekenhuizen net zo gemakkelijk uit te schakelen als achter iedereen aan andermans netwerk.
Helaas heb je het cliché waarschijnlijk al gehoord cybercriminaliteit verafschuwt een vacuüm, en dat geldt helaas evenzeer voor ransomware-exploitanten als voor elk ander aspect van online criminaliteit.
Als de kernbendeleden niet worden gearresteerd, kunnen ze zich een tijdje gedeisd houden en dan onder een nieuwe naam opduiken (of misschien zelfs opzettelijk en arrogant hun oude "merk" nieuw leven inblazen) met nieuwe servers, die weer toegankelijk zijn op de darkweb maar op een nieuwe en inmiddels onbekende locatie.
Of andere ransomware-bendes zullen gewoon hun activiteiten opvoeren, in de hoop enkele van de "gelieerde ondernemingen" aan te trekken die plotseling zonder hun lucratieve onwettige inkomstenstroom zaten.
Hoe dan ook, verwijderingen als deze zijn iets dat we dringend nodig hebben, dat we moeten toejuichen wanneer ze plaatsvinden, maar het is onwaarschijnlijk dat ze meer dan een tijdelijke deuk in de cybercriminaliteit als geheel zullen veroorzaken.
Om de hoeveelheid geld die ransomware-boeven uit onze economie zuigen te verminderen, moeten we ons richten op preventie van cybercriminaliteit, niet alleen op genezing.
Het detecteren, reageren en dus voorkomen van potentiële ransomware-aanvallen voordat ze beginnen, of terwijl ze zich ontvouwen, of zelfs op het allerlaatste moment, wanneer de boeven proberen het laatste proces van het versleutelen van bestanden op uw netwerk los te laten, is altijd beter dan de stress om te proberen te herstellen van een daadwerkelijke aanval.
Zoals Mr Miagi, bekend van Karate Kid, bewust opgemerkt, "De beste manier om punch te vermijden - wees er niet."
LUISTER NU: EEN DAG UIT HET LEVEN VAN EEN CYBERCRIME BESTRIJDER
Paul Ducklin praat met Peter Mackenzie, Director of Incident Response bij Sophos, in een cybersecurity-sessie die u in gelijke mate zal alarmeren, amuseren en onderwijzen.
Leer hoe u ransomware-boeven kunt stoppen voordat ze u stoppen! (Vol afschrift beschikbaar.)
Klik en sleep op de onderstaande geluidsgolven om naar een willekeurig punt te gaan. Je kan ook luister direct op Soundcloud.
Weinig tijd of expertise om te zorgen voor de respons op cyberbeveiligingsdreigingen? Bezorgd dat cyberbeveiliging u uiteindelijk zal afleiden van alle andere dingen die u moet doen? Weet u niet zeker hoe u moet reageren op beveiligingsmeldingen van medewerkers die oprecht willen helpen?
Lees verder over Door Sophos beheerde detectie en respons:
24/7 jacht op bedreigingen, detectie en reactie ▶
- Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
- Platoblockchain. Web3 Metaverse Intelligentie. Kennis versterkt. Toegang hier.
- Bron: https://nakedsecurity.sophos.com/2023/01/27/hive-ransomware-servers-shut-down-at-last-says-fbi/
- 000
- 1
- 2022
- a
- vermogen
- in staat
- Over
- boven
- absoluut
- toegang
- beschikbaar
- ongeval
- over
- activiteiten
- Affiliate
- filialen
- Na
- tegen
- alarm
- Alles
- Het toestaan
- al
- alternatief
- Hoewel
- altijd
- bedragen
- en
- aangekondigd
- anonimiteit
- iedereen
- rond
- arrangement
- gearresteerd
- dit artikel
- verschijning
- aspecten
- Hulp
- geassocieerd
- aanvallen
- Aanvallen
- Aanvallen
- aangetrokken
- Trekt aan
- auteur
- auto
- Beschikbaar
- gemiddelde
- terug
- achtergrond
- background-image
- backup
- backups
- gebaseerde
- omdat
- vaardigheden
- onder
- Betere
- Chantage
- Blok
- grens
- Onder
- Breken
- Bureau
- bedrijfsdeskundigen
- ondernemingen
- kopers
- Bellen
- Kan krijgen
- verzorging
- geval
- Centreren
- zeker
- kans
- keuze
- klanten
- Sluiten
- kleur
- commercieel
- communiceren
- Bedrijven
- computers
- Verbinden
- beschouwd
- onder controle te houden
- coördinatie
- Kern
- landen
- deksel
- en je merk te creëren
- Wij creëren
- Misdrijf
- Crimineel
- criminelen
- kritisch
- Kritische infrastructuur
- Crooks
- geheimschrift
- genezen
- Actueel
- cybercrime
- CYBERCRIMINEEL
- cybercriminelen
- Cybersecurity
- dark web
- gegevens
- dag
- dagen
- Vraag
- eisen
- afdeling
- Departement van Justitie
- Ministerie van Justitie (DoJ)
- Afhankelijk
- Design
- vernietigen
- Opsporing
- Director
- Display
- Ontwrichting
- Nee
- doen
- DoJ
- dollar
- beneden
- drug
- elk
- economie
- opvoeden
- doeltreffend
- anders'
- medewerkers
- handhaving
- genoeg
- Europa
- Zelfs
- steeds veranderend
- alles
- expertise
- afpersing
- extract
- eerlijk
- FAME
- fantastisch
- fbi
- Federaal
- Federal Bureau of Investigation
- Figuur
- Figuren
- Dien in
- Bestanden
- finale
- laatste fase
- Tot slot
- financieel
- VIND DE PLEK DIE PERFECT VOOR JOU IS
- het vinden van
- bedrijven
- geschikt
- fout
- Franchise
- Gratis
- oppompen van
- bevroren
- vol
- spel
- Bende
- Algemeen
- algemeen
- Duits
- Duitsland
- krijgen
- het krijgen van
- Geven
- Go
- doel
- Groep
- Groep
- gehackt
- gebeuren
- gebeurt
- gelukkig
- met
- gehoord
- Hoogte
- hulp
- verborgen
- Hoge
- Bijenkorf
- houden
- in de hoop
- ziekenhuizen
- gastheer
- gehost
- zweven
- Hoe
- How To
- Echter
- HTML
- HTTPS
- reusachtig
- Jacht
- geïdentificeerd
- het identificeren van
- identiteiten
- Identiteit
- belangrijk
- in
- incident
- incident reactie
- Inclusief
- individueel
- Infrastructuur
- eerste
- inzichten
- onderzoek
- Onderzoekers
- betrekken
- IT
- juli-
- gerechtigheid
- Keen
- Houden
- sleutel
- toetsen
- Kind
- blijven
- Weten
- bekend
- Groot
- grotendeels
- Achternaam*
- Wet
- politie
- lekken
- Verlof
- Life
- Elke kleine stap levert grote resultaten op!
- gelegen
- plaats
- locaties
- uitsluiting
- Laag
- geluk
- Hoofd
- MERKEN
- maken
- beheerd
- veel
- Marge
- max-width
- middel
- maatregel
- Leden
- alleen
- macht
- miljoen
- miljoen dollar
- model
- Modern
- moment
- geld
- maanden
- meer
- meest
- gemotiveerde
- Naakte beveiliging
- naam
- nationaal
- Noodzaak
- nodig
- Nederland
- netwerk
- Netwerk veiligheid
- netwerken
- New
- een
- in het bijzonder
- berucht
- aangeboden
- Oud
- EEN
- online.
- Operations
- exploitanten
- bestellen
- Organisaties
- Overige
- anders-
- het te bezitten.
- betaald
- deel
- bijzonder
- partners
- Wachtwoord
- wachtwoorden
- pad
- Betaal
- het betalen van
- betaling
- betalingen
- mensen
- misschien
- fase
- plan
- Plato
- Plato gegevensintelligentie
- PlatoData
- punt
- punten
- Politie
- positie
- mogelijk
- Berichten
- potentieel
- pers
- Persbericht
- het voorkomen van
- het voorkomen
- waarschijnlijk
- Programming
- Programma's
- stempel
- zetten
- snel
- tracks
- Ramp
- ransomware
- Ransomware-aanvallen
- BIJZONDER
- reden
- Herstellen
- na een training
- verminderen
- los
- Rapporten
- Reageren
- antwoord
- terugkeer
- onthullen
- onthullende
- inkomsten
- Herleven
- robuust
- lopen
- lopend
- veilig
- veilig
- dezelfde
- School
- scholen
- beveiligen
- beveiligen
- veiligheid
- lijkt
- in beslag genomen
- Sessie
- verscheidene
- Schild
- Bermuda's
- stilgelegd
- eenvoudigweg
- sinds
- ZES
- Zes maanden
- So
- solide
- sommige
- iets
- spreken
- wrok
- voorjaar
- staat
- begin
- gestart
- blijven
- stop
- stream
- spanning
- geslaagd
- dergelijk
- plotseling
- omgeven
- SVG
- Nemen
- Talks
- doelgerichte
- tech
- technieken
- tijdelijk
- De
- de Nederland
- de wereld
- hun
- zich
- spullen
- bedreiging
- drie
- niet de tijd of
- naar
- vandaag
- tools
- tools
- top
- Totaal
- verkeer
- overgang
- transparant
- behandelen
- waar
- Gedraaid
- typisch
- voor
- ontvouwen
- eenheid
- ontketenen
- openen
- URL
- us
- Amerikaanse ministerie van Justitie
- .
- gebruikers
- doorgaans
- groot
- rendabel
- Slachtoffer
- slachtoffers
- manieren
- web
- Verkeer van het web
- websites
- Wat
- of
- welke
- en
- WIE
- wijd
- wijd verspreid
- wil
- Bereidwilligheid
- zonder
- wereld
- bezorgd
- schrijver
- Your
- jezelf
- zephyrnet
