Hive ransomware-servrar stängdes till slut, säger FBI

Hive ransomware-servrar stängdes till slut, säger FBI

Tidsstämpel: 27 januari 2023 12:58
Källnod: 1924152
by Naked Security författare

För sex månader sedan, enligt till US Department of Justice (DOJ), infiltrerade Federal Bureau of Investigation (FBI) Hive ransomware-gänget och började "stjäla tillbaka" dekrypteringsnycklarna för offer vars filer hade krypterats.

Som du nästan säkert, och tyvärr, är medveten om, involverar ransomware-attacker idag vanligtvis två associerade grupper av cyberbrottslingar.

Dessa grupper "känner" ofta varandra endast genom smeknamn och "träffas" endast online, med hjälp av anonymitetsverktyg för att undvika faktiskt att känna till (eller avslöja, vare sig det är av misstag eller design) varandras verkliga identiteter och platser.

Kärngängmedlemmarna håller sig till stor del i bakgrunden och skapar skadliga program som förvränger (eller på annat sätt blockerar åtkomst till) alla dina viktiga filer, med hjälp av en åtkomstnyckel som de håller för sig själva efter att skadan är skedd.

De driver också en eller flera darkweb "betalningssidor" där offer, löst uttryckt, går för att betala utpressningspengar i utbyte mot dessa åtkomstnycklar, vilket gör att de kan låsa upp sina frusna datorer och få igång sina företag igen.

Crimeware-as-a-Service

Denna kärngrupp är omgiven av en möjligen stor och ständigt föränderlig grupp av ”affiliates” – partners i brottslighet som bryter sig in i andras nätverk för att implantera kärngängets ”attackprogram” så brett och djupt som möjligt.

Deras mål, motiverat av en "provisionsavgift" som kan vara så mycket som 80 % av den totala utpressningen som betalas, är att skapa så omfattande och plötsliga störningar för ett företag att de inte bara kan kräva en iögonfallande utpressningsbetalning, utan också att lämna offret med lite annat val än att betala.

Detta arrangemang är allmänt känt som Raas or CaaS, Förkortning av Ransomware (eller brottsartiklar) som en tjänst, ett namn som står som en ironisk påminnelse om att den cyberkriminella undervärlden gärna kopierar affiliate- eller franchisemodellen som används av många legitima företag.

Återhämta sig utan att betala

Det finns tre huvudsakliga sätt som offer kan få sina företag tillbaka på spåren utan att betala upp efter en framgångsrik nätverksomfattande fillåsningsattack:

  • Ha en robust och effektiv återhämtningsplan. Generellt sett betyder detta inte bara att ha en förstklassig process för att göra säkerhetskopior, utan också att veta hur man håller minst en säkerhetskopia av allt säkert från ransomware affiliates (de gillar inget bättre än att hitta och förstöra dina online backuper innan de släpper lös slutfasen av deras attack). Du måste också ha tränat på hur du återställer dessa säkerhetskopior på ett tillförlitligt och snabbt sätt för att göra det är ett lönsamt alternativ till att bara betala ändå.
  • Hitta ett fel i fillåsningsprocessen som används av angriparna. Vanligtvis "låser" ransomware-skurkar dina filer genom att kryptera dem med samma typ av säker kryptografi som du kan använda själv när du säkrar din webbtrafik eller dina egna säkerhetskopior. Ibland gör dock kärngänget en eller flera programmeringsmisstag som gör att du kan använda ett gratisverktyg för att "knäcka" dekrypteringen och återhämta dig utan att betala. Var dock medveten om att denna väg till återhämtning sker genom tur, inte av design.
  • Få tag på de faktiska återställningslösenorden eller nycklarna på något annat sätt. Även om detta är sällsynt, finns det flera sätt det kan hända, till exempel: att identifiera en frack inom gänget som kommer att läcka nycklarna i ett anfall av samvete eller ett utbrott av trots; hitta ett nätverkssäkerhetsfel som tillåter en motattack för att extrahera nycklarna från skurkarnas egna dolda servrar; eller infiltrera gänget och få hemlig tillgång till nödvändig data i de kriminellas nätverk.

Den sista av dessa, infiltration, är vad DOJ säger att det är kunnat göra för åtminstone några Hive-offer sedan juli 2022, uppenbarligen kortslutande utpressningskrav på totalt mer än $130 miljoner dollar, relaterade till mer än 300 individuella attacker, på bara sex månader.

Vi antar att siffran på 130 miljoner dollar är baserad på angriparnas initiala krav; Ransomware-skurkar slutar ibland med att gå med på lägre betalningar och föredrar att ta något snarare än ingenting, även om de "rabatter" som erbjuds ofta tycks minska betalningarna endast från oöverkomligt stora till iögonfallande enorma. Den genomsnittliga efterfrågan baserat på siffrorna ovan är $130 miljoner/300, eller nära $450,000 XNUMX per offer.

Sjukhus ansåg rättvisa mål

Som DOJ påpekar behandlar många ransomware-gäng i allmänhet, och Hive-teamet i synnerhet, alla nätverk som rättvist spel för utpressning, och attackerar offentligt finansierade organisationer som skolor och sjukhus med precis samma kraft som de använder mot rikaste kommersiella företag:

[T]he Hive ransomware group […] har riktat in sig på mer än 1500 offer i över 80 länder runt om i världen, inklusive sjukhus, skoldistrikt, finansiella företag och kritisk infrastruktur.

Tyvärr, även om infiltrering av ett modernt cyberbrottsgäng kan ge dig fantastiska insikter i gängets TTP:er (verktyg, tekniker och procedurer), och – som i det här fallet – ger dig en chans att störa deras verksamhet genom att undergräva utpressningsprocessen som dessa iögonfallande utpressningskrav är baserade på...

…att känna till ens en gängadministratörs lösenord till brottslingarnas darkweb-baserade IT-infrastruktur talar i allmänhet inte om var den infrastrukturen är baserad.

Dubbelriktad pseudoanonymitet

En av de stora/hemska aspekterna av darkweb (beroende på varför du använder det och vilken sida du är på), särskilt Tor (Förkortning av lökroutern) nätverk som är allmänt gynnat av dagens ransomware-kriminella, är vad man kan kalla dess dubbelriktade pseudoanonymitet.

Darkweb skyddar inte bara identiteten och platsen för de användare som ansluter till servrar som finns på den, utan döljer också platsen för själva servrarna från klienterna som besöker.

Servern (åtminstone för det mesta) vet inte vem du är när du loggar in, vilket är det som lockar kunder som cyberbrottsorganisationer och blivande darkweb-drogköpare, eftersom de tenderar att känna att de kommer att vara kunna klippa och springa säkert, även om kärngängets operatörer blir fastnade.

På samma sätt lockas oseriösa serveroperatörer av det faktum att även om deras klienter, affiliates eller egna systemadministratörer blir avbrutna, eller vänds eller hackas av brottsbekämpande myndigheter, kommer de inte att kunna avslöja vilka kärngängets medlemmar är, eller var de värd för deras skadliga onlineaktiviteter.

Äntligen nedtagning

Tja, det verkar som att anledningen till gårdagens DOJ-pressmeddelande är att FBI-utredare, med hjälp av brottsbekämpande myndigheter i både Tyskland och Nederländerna, nu har identifierat, lokaliserat och beslagtagit darkweb-servrarna som Hive-gänget använde:

Slutligen meddelade avdelningen idag[2023-01-26] att den, i samordning med tysk brottsbekämpning (den tyska federala kriminalpolisen och Reutlingens polishögkvarter-CID Esslingen) och den nederländska nationella högteknologiska brottsenheten, har tagit kontroll över servrar och webbplatser som Hive använder för att kommunicera med sina medlemmar, vilket stör Hives förmåga att attackera och utpressa offer.

Vad göra?

Vi skrev den här artikeln för att applådera FBI och dess brottsbekämpande partner i Europa för att de kommit så långt...

…undersöka, infiltrera, rekognoscera och slutligen slå till för att implodera den nuvarande infrastrukturen för detta ökända ransomware-team, med deras utpressningskrav på en halv miljon dollar i genomsnitt, och deras vilja att ta ut sjukhus lika lätt som de går efter någon annan annans nätverk.

Tyvärr har du förmodligen redan hört klichén att cyberbrottslighet avskyr ett vakuum, och det gäller tyvärr lika mycket för ransomware-operatörer som för alla andra aspekter av onlinekriminalitet.

Om kärngängets medlemmar inte arresteras kan de helt enkelt ligga lågt ett tag och sedan dyka upp under ett nytt namn (eller kanske till och med avsiktligt och arrogant återuppliva sitt gamla "varumärke") med nya servrar, tillgängliga igen på darkweb men på en ny och nu okänd plats.

Eller så kommer andra ransomware-gäng helt enkelt att öka sin verksamhet i hopp om att locka några av de "affiliates" som plötsligt lämnades utan sin lukrativt olagliga inkomstström.

Hur som helst, nedtagningar som detta är något vi akut behöver, som vi måste heja när de inträffar, men som sannolikt inte kommer att sätta mer än ett tillfälligt hack i cyberkriminalitet som helhet.

För att minska mängden pengar som ransomware-skurkar suger ur vår ekonomi, måste vi sträva efter att förebygga cyberbrottslighet, inte bara bota.

Att upptäcka, reagera på och på så sätt förhindra potentiella ransomware-attacker innan de börjar, eller medan de utvecklas, eller till och med i sista stund, när skurkarna försöker släppa loss den sista filkrypteringen över ditt nätverk, är alltid bättre än stress av att försöka återhämta sig från en verklig attack.

Som Mr Miagi, av Karate Kid-berömdhet, medvetet anmärkt, "Bästa sättet att undvika slag – inte vara där."

LYSSNA NU: EN DAG I EN CYBERBROTTSMÄKARES LIV

Paul Ducklin pratar med Peter Mackenzie, Director of Incident Response på Sophos, i en cybersäkerhetssession som kommer att larma, roa och utbilda dig, alla i lika stor utsträckning.

Lär dig hur du stoppar skurkar i ransomware innan de stoppar dig! (Full transkriptet tillgängliga.)

Klicka och dra på ljudvågorna nedan för att hoppa till valfri punkt. Du kan också lyssna direkt på Soundcloud.

Har du ont om tid eller expertis för att ta hand om cybersäkerhetshot? Orolig för att cybersäkerhet kommer att distrahera dig från alla andra saker du behöver göra? Är du osäker på hur du ska svara på säkerhetsrapporter från anställda som verkligen vill hjälpa till?

Läs mer om Sophos Managed Detection and Response:
24/7 hotjakt, upptäckt och respons  ▶

Tidsstämpel:

Mer från Naken säkerhet