Acum șase luni, conform Departamentului de Justiție al SUA (DOJ), Biroul Federal de Investigații (FBI) s-a infiltrat în banda de ransomware Hive și a început să „fure înapoi” cheile de decriptare pentru victimele ale căror fișiere fuseseră amestecate.
După cum aproape sigur și, din păcate, știți, atacurile ransomware în zilele noastre implică de obicei două grupuri asociate de criminali cibernetici.
Aceste grupuri adesea „se cunosc” doar după porecle și „se întâlnesc” doar online, folosind instrumente de anonimat pentru a evita de fapt cunoașterea (sau dezvăluirea, din întâmplare sau prin proiect), identitățile și locațiile din viața reală a celorlalți.
Membrii de bază ai bandei rămân în mare parte în fundal, creând programe rău intenționate care amestecă (sau blochează în alt mod accesul la) toate fișierele tale importante, folosind o cheie de acces pe care o păstrează pentru ei înșiși după ce deteriorarea este făcută.
Ei rulează, de asemenea, una sau mai multe „pagini de plată” darkweb în care victimele, vorbind vag, merg să plătească bani de șantaj în schimbul acelor chei de acces, permițându-le astfel să-și deblocheze computerele înghețate și să-și pună companiile să funcționeze din nou.
Crimeware-as-a-Service
Acest grup de bază este înconjurat de un grup posibil mare și în continuă schimbare de „afiliați” – parteneri în crime care intră în rețelele altor oameni pentru a implanta „programele de atac” ale bandei de bază cât mai larg și profund posibil.
Scopul lor, motivat de o „comision” care poate fi de până la 80% din totalul șantajului plătit, este de a crea o întrerupere atât de răspândită și bruscă a unei afaceri încât să poată cere nu numai o plată de extorcare atrăgătoare, ci și să-i lase pe victimă să nu aibă de ales decât să plătească.
Acest aranjament este cunoscut în general ca RAAS or CaaS, scurt pentru Ransomware (Sau crimeware) ca serviciu, un nume care reprezintă un memento ironic că lumea interlopă a criminalilor cibernetici este bucuroasă să copieze modelul de afiliat sau de franciză folosit de multe companii legitime.
Recuperarea fără a plăti
Există trei modalități principale prin care victimele își pot restabili afacerile fără să plătească după un atac de blocare a fișierelor de succes la nivelul întregii rețele:
- Aveți un plan de recuperare robust și eficient. În general vorbind, acest lucru înseamnă nu numai să aveți un proces de top pentru a face copii de rezervă, ci și să știți cum să păstrați cel puțin o copie de rezervă a tot ceea ce este în siguranță de la afiliații ransomware (nu le place nimic mai bun decât să vă găsească și să vă distrugă copiile de rezervă online înainte de a le lansa). faza finală a atacului lor). De asemenea, trebuie să fi exersat cum să restabiliți acele copii de siguranță în mod fiabil și suficient de rapid încât să fie o alternativă viabilă la pur și simplu plata oricum.
- Găsiți o defecțiune în procesul de blocare a fișierelor folosit de atacatori. De obicei, escrocii de ransomware vă „blochează” fișierele criptându-le cu același tip de criptografie sigură pe care o puteți utiliza atunci când vă securizați traficul web sau propriile copii de rezervă. Ocazional, totuși, grupul de bază face una sau mai multe gafe de programare care vă pot permite să utilizați un instrument gratuit pentru a „crapa” decriptarea și a recupera fără să plătiți. Fiți conștienți, totuși, de faptul că această cale spre recuperare se întâmplă din noroc, nu prin proiect.
- Obțineți parolele sau cheile reale de recuperare într-un alt mod. Deși acest lucru este rar, există mai multe modalități în care se poate întâmpla, cum ar fi: identificarea unui îndoitor în interiorul bandei care va scurge cheile într-o criză de conștiință sau o explozie de ciudă; găsirea unei gafe de securitate a rețelei care permite un contraatac pentru a extrage cheile de pe serverele ascunse ale escrocilor; sau infiltrarea în bande și obținerea accesului sub acoperire la datele necesare în rețeaua criminalilor.
Ultimul dintre acestea, infiltrare, așa spune DOJ că este a putut face pentru cel puțin unele victime Hive din iulie 2022, aparent scurtcircuitarea cererilor de șantaj în valoare totală de peste 130 de milioane de dolari, referitoare la peste 300 de atacuri individuale, în doar șase luni.
Presupunem că suma de 130 de milioane de dolari se bazează pe cererile inițiale ale atacatorilor; Escrocii de ransomware ajung uneori să accepte plăți mai mici, preferând să ia ceva mai degrabă decât nimic, deși „reducerile” oferite par adesea să reducă plățile doar de la neprețuit de mari la incredibil de mari. Cererea medie medie bazată pe cifrele de mai sus este de 130 milioane USD/300, sau aproape de 450,000 USD per victimă.
Spitalele considerate ținte corecte
După cum subliniază DOJ, multe bande de ransomware, în general, și echipajul Hive în special, tratează toate rețelele ca pe un joc corect pentru șantaj, atacând organizațiile finanțate din fonduri publice, cum ar fi școlile și spitalele, cu aceeași vigoare pe care o folosesc împotriva cele mai bogate companii comerciale:
[T]ul grup de ransomware Hive […] a vizat peste 1500 de victime în peste 80 de țări din întreaga lume, inclusiv spitale, districte școlare, firme financiare și infrastructură critică.
Din păcate, chiar dacă infiltrarea într-o bandă modernă de infracțiuni cibernetice vă poate oferi o perspectivă fantastică asupra TTP-urilor bandei (instrumente, tehnici și proceduri), și – ca și în acest caz – vă oferă șansa de a le perturba operațiunile prin subminarea procesului de șantaj pe care se bazează acele cereri de extorcare amăgitoare...
…cunoașterea chiar și a parolei unui administrator de bandă pentru infrastructura IT bazată pe darkweb a criminalilor, în general, nu vă spune unde se află acea infrastructură.
Pseudoanonimitate bidirecțională
Unul dintre aspectele grozave/îngrozitoare ale rețelei întunecate (în funcție de motivul pentru care îl utilizați și de ce parte vă aflați), în special Tor (scurt pentru routerul de ceapă), care este favorizată pe scară largă de criminalii de ransomware de astăzi, este ceea ce ați putea numi pseudoanonimitatea sa bidirecțională.
Darkweb-ul nu doar protejează identitatea și locația utilizatorilor care se conectează la serverele găzduite pe acesta, ci ascunde și locația serverelor înșiși de clienții care vizitează.
Serverul (în cea mai mare parte, cel puțin) nu știe cine ești atunci când te conectezi, ceea ce atrage clienți precum afiliații criminalității informatice și potențialii cumpărători de droguri darkweb, deoarece au tendința de a simți că vor fi capabil să taie și să ruleze în siguranță, chiar dacă principalii operatori ai bandelor sunt blocați.
În mod similar, operatorii de server necinstiți sunt atrași de faptul că, chiar dacă clienții lor, afiliații sau administratorii de sistem proprii sunt blocați, transformați sau piratați de forțele de ordine, nu vor putea dezvălui cine sunt membrii de bază ai bandei sau unde sunt. găzduiesc activitățile lor online rău intenționate.
Eliminare în sfârșit
Ei bine, se pare că motivul comunicatului de presă al DOJ de ieri este că anchetatorii FBI, cu asistența forțelor de ordine din Germania și Țările de Jos, au identificat, localizat și confiscat acum serverele darkweb pe care banda Hive le folosea:
În cele din urmă, departamentul a anunțat astăzi[2023-01-26] că, în coordonare cu forțele de ordine germane (poliția penală federală germană și sediul poliției din Reutlingen-CID Esslingen) și Unitatea națională de criminalitate de înaltă tehnologie din Țările de Jos, a preluat controlul asupra servere și site-uri web pe care Hive le folosește pentru a comunica cu membrii săi, perturbând capacitatea Hive de a ataca și de a extorca victimele.
Ce să fac?
Am scris acest articol pentru a aplauda FBI și partenerii săi de aplicare a legii din Europa pentru că au ajuns atât de departe...
... investigarea, infiltrarea, recunoașterea și, în cele din urmă, lovirea pentru a imploda infrastructura actuală a acestui echipaj de ransomware notoriu, cu cererile lor de șantaj de jumătate de milion de dolari în medie și dorința lor de a elimina spitalele la fel de ușor ca după oricine. rețeaua altcuiva.
Din păcate, probabil că ați auzit deja clișeul care spune criminalitatea cibernetică detestă vidul, iar acest lucru este, din păcate, adevărat pentru operatorii de ransomware, la fel de mult ca și pentru orice alt aspect al criminalității online.
Dacă membrii de bază ai bandei nu sunt arestați, ei pot rămâne pur și simplu jos pentru un timp și apoi apar sub un nou nume (sau poate chiar își reînvie în mod deliberat și arogant vechiul „brand”) cu servere noi, accesibile din nou pe darkweb, dar într-o locație nouă și acum necunoscută.
Sau alte bande de ransomware își vor intensifica pur și simplu operațiunile, sperând să atragă unii dintre „afiliații” care au rămas dintr-o dată fără fluxul lor de venituri ilegale.
Oricum ar fi, distrugeri de genul acesta sunt ceva de care avem nevoie urgentă, de care trebuie să-l încurajăm atunci când se întâmplă, dar care este puțin probabil să pună mai mult decât o pătură temporară în criminalitatea cibernetică în ansamblu.
Pentru a reduce suma de bani pe care escrocii de ransomware o iau din economia noastră, trebuie să urmărim prevenirea criminalității cibernetice, nu doar vindecarea.
Detectarea, răspunsul la și, astfel, prevenirea potențialelor atacuri ransomware înainte de a începe sau în timp ce acestea se desfășoară, sau chiar în ultimul moment, când escrocii încearcă să declanșeze procesul final de amestecare a fișierelor în rețea, este întotdeauna mai bine decât stresul de a încerca să se recupereze după un atac real.
În rolul domnului Miagi, faimosul Karate Kid, remarcat cu bună știință, „Cel mai bun mod de a evita loviturile – nu fii acolo.”
ASCULȚI ACUM: O ZI DIN VIAȚA UNUI LUPTĂTOR DE CRIME CIBERNICE
Paul Ducklin vorbește cu Peter Mackenzie, Director of Incident Response la Sophos, într-o sesiune de securitate cibernetică care vă va alarma, amuza și educa, toate în egală măsură.
Aflați cum să opriți escrocii de ransomware înainte de a vă opri! (Deplin transcriere disponibil.)
Faceți clic și trageți pe undele sonore de mai jos pentru a trece la orice punct. Poti de asemenea asculta direct pe Soundcloud.
Nu aveți timp sau experiență pentru a vă ocupa de răspunsul la amenințările de securitate cibernetică? Vă faceți griji că securitatea cibernetică vă va distrage atenția de la toate celelalte lucruri pe care trebuie să le faceți? Nu sunteți sigur cum să răspundeți la rapoartele de securitate de la angajații care sunt cu adevărat dornici să ajute?
Aflați mai multe despre Sophos Managed Detection and Response:
Vânătoarea, detectarea și răspunsul amenințărilor 24/7 ▶
- Distribuție de conținut bazat pe SEO și PR. Amplifică-te astăzi.
- Platoblockchain. Web3 Metaverse Intelligence. Cunoștințe amplificate. Accesați Aici.
- Sursa: https://nakedsecurity.sophos.com/2023/01/27/hive-ransomware-servers-shut-down-at-last-says-fbi/
- 000
- 1
- 2022
- a
- capacitate
- Capabil
- Despre Noi
- mai sus
- Absolut
- acces
- accesibil
- accident
- peste
- activităţi de
- Parteneri
- afiliate
- După
- împotriva
- alarmă
- TOATE
- Permiterea
- deja
- alternativă
- Cu toate ca
- mereu
- sumă
- și
- a anunțat
- anonimat
- oricine
- în jurul
- aranjament
- arestat
- articol
- aspect
- aspecte
- Asistență
- asociate
- ataca
- atacare
- Atacuri
- atrase
- atrage
- autor
- Auto
- disponibil
- in medie
- înapoi
- fundal
- imagine de fundal
- Backup
- backup-uri
- bazat
- deoarece
- înainte
- de mai jos
- Mai bine
- Șantaj
- Bloca
- frontieră
- De jos
- Pauză
- Birou
- afaceri
- întreprinderi
- cumpărători
- apel
- Poate obține
- pasă
- caz
- Centru
- cu siguranță
- șansă
- alegere
- clientii
- Închide
- culoare
- comercial
- comunica
- Companii
- Calculatoare
- Conectați
- luate în considerare
- Control
- coordonare
- Nucleu
- țări
- acoperi
- crea
- Crearea
- Crimă
- Penal
- criminali
- critic
- Infrastructura critică
- Crooks
- criptografie
- vindeca
- Curent
- criminalităţii cibernetice
- CYBERCRIMINAL
- cybercriminals
- Securitate cibernetică
- dark web
- de date
- zi
- Zi
- Cerere
- cererile
- Departament
- Departamentul de Justiție
- Departamentul de Justiție (DoJ)
- În funcție
- Amenajări
- distruge
- Detectare
- Director
- Afişa
- Ruptură
- Nu
- face
- DOJ
- de dolari
- jos
- medicament
- fiecare
- economie
- educa
- eficient
- Altele
- de angajați
- executare
- suficient de
- Europa
- Chiar
- mereu în schimbare
- tot
- expertiză
- stoarcere
- extrage
- echitabil
- FAME
- fantastic
- FBI
- federal
- Biroul Federal de Investigatii
- Figura
- cifre
- Fișier
- Fişiere
- final
- faza finala
- În cele din urmă
- financiar
- Găsi
- descoperire
- firme
- potrivi
- defect
- vot
- Gratuit
- din
- congelate
- Complet
- joc
- Bandă
- General
- în general
- Germană
- Germania
- obține
- obtinerea
- Da
- Go
- scop
- grup
- Grupului
- tocat
- întâmpla
- se întâmplă
- fericit
- având în
- auzit
- înălțime
- ajutor
- Ascuns
- Înalt
- Stup
- deţine
- sperând
- spitale
- gazdă
- găzduit
- planare
- Cum
- Cum Pentru a
- Totuși
- HTML
- HTTPS
- mare
- Vânătoare
- identificat
- identificarea
- identitățile
- Identitate
- important
- in
- incident
- răspuns la incident
- Inclusiv
- individ
- Infrastructură
- inițială
- perspective
- investigaţie
- anchetatorii
- implica
- IT
- iulie
- Justiție
- pasionat
- A pastra
- Cheie
- chei
- Copil
- Cunoaște
- Cunoaștere
- cunoscut
- mare
- în mare măsură
- Nume
- Drept
- de aplicare a legii
- scăpa
- Părăsi
- Viaţă
- mic
- situat
- locaţie
- Locații
- deconectare
- Jos
- noroc
- Principal
- FACE
- Efectuarea
- gestionate
- multe
- Margine
- max-width
- mijloace
- măsura
- Membri actuali
- pur și simplu
- ar putea
- milion
- un milion de dolari
- model
- Modern
- moment
- bani
- luni
- mai mult
- cele mai multe
- motivat
- Securitate goală
- nume
- național
- Nevoie
- necesar
- Olanda
- reţea
- Securitatea rețelei
- rețele
- Nou
- normală.
- în special
- notoriu
- oferit
- Vechi
- ONE
- on-line
- Operațiuni
- Operatorii
- comandă
- Organizaţii
- Altele
- in caz contrar
- propriu
- plătit
- parte
- special
- parteneri
- Parolă
- Parolele
- cale
- Plătește
- de plată
- plată
- plăți
- oamenii lui
- poate
- fază
- plan
- Plato
- Informații despre date Platon
- PlatoData
- Punct
- puncte
- Police
- poziţie
- posibil
- postări
- potenţial
- presa
- Comunicat de presă
- prevenirea
- Prevenirea
- probabil
- proces
- Programare
- Programe
- pumn
- pune
- repede
- șine
- Rampă
- Ransomware
- Atacuri Ransomware
- RAR
- motiv
- Recupera
- recuperare
- reduce
- eliberaţi
- Rapoarte
- Răspunde
- răspuns
- reveni
- dezvălui
- revelator
- venituri
- reînvia
- robust
- Alerga
- funcţionare
- sigur
- în siguranță
- acelaşi
- Şcoală
- Școli
- sigur
- asigurarea
- securitate
- pare
- ocupat
- sesiune
- câteva
- Scut
- Pantaloni scurți
- Închide
- pur şi simplu
- întrucât
- SIX
- Șase luni
- So
- solid
- unele
- ceva
- vorbire
- ciudă
- primăvară
- Standuri
- Începe
- început
- şedere
- Stop
- curent
- stres
- de succes
- astfel de
- brusc
- inconjurat
- SVG
- Lua
- Tratative
- vizate
- tech
- tehnici de
- temporar
- Olanda
- lumea
- lor
- se
- lucruri
- amenințare
- trei
- timp
- la
- azi
- instrument
- Unelte
- top
- Total
- trafic
- tranziţie
- transparent
- trata
- adevărat
- transformat
- tipic
- în
- desfășurare
- unitate
- dezlănțui
- deschide
- URL-ul
- us
- US Departamentul de Justiție
- utilizare
- utilizatorii
- obișnuit
- Fixă
- viabil
- Victimă
- victime
- modalități de
- web
- Trafic web
- site-uri web
- Ce
- dacă
- care
- în timp ce
- OMS
- pe larg
- pe scară largă
- voi
- Bunăvoință
- fără
- lume
- îngrijorat
- scriitor
- Ta
- te
- zephyrnet
