півроку тому, відповідно до Міністерства юстиції США (DOJ), Федеральне бюро розслідувань (ФБР) проникло в банду програм-вимагачів Hive і почало «викрадати» ключі дешифрування для жертв, чиї файли були зашифровані.
Як ви майже напевно і, на жаль, знаєте, атаки програм-вимагачів сьогодні зазвичай включають дві асоційовані групи кіберзлочинців.
Ці групи часто «знають» одна одну лише за псевдонімами та «зустрічаються» лише в Інтернеті, використовуючи інструменти анонімності, щоб уникнути насправді знати (або розкривати, випадково чи надумано) один одного в реальному житті та місцезнаходження.
Основні члени угруповання здебільшого залишаються у фоновому режимі, створюючи шкідливі програми, які кодують (або іншим чином блокують доступ до) усі ваші важливі файли, використовуючи ключ доступу, який вони залишають собі після нанесення шкоди.
Вони також ведуть одну або кілька «платіжних сторінок» темної мережі, на яких жертви, грубо кажучи, платять гроші шантажу в обмін на ці ключі доступу, що дозволяє їм розблокувати свої заморожені комп’ютери та відновити роботу своїх компаній.
Кримінальне програмне забезпечення як послуга
Цю основну групу оточує, ймовірно, велика та постійно мінлива група «філій» — партнерів у злочині, які проникають у мережі інших людей, щоб якомога ширше та глибше запровадити «програми нападу» ядра банди.
Їхня мета, мотивована «комісійною винагородою», яка може сягати 80% від загальної суми сплаченого шантажу, полягає в тому, щоб створити такий широкомасштабний і раптовий збій у бізнесі, щоб вони могли не лише вимагати грандіозного вимагання, але й щоб жертва не мала іншого вибору, окрім як заплатити.
Ця схема загальновідома як RaaS or CaaS, скорочено вимагачів (Або злочинне програмне забезпечення) як послуга, ім’я, яке іронічно нагадує про те, що кримінальний світ кіберзлочинців із задоволенням копіює партнерську або франчайзингову модель, яку використовують багато законних компаній.
Відновлення без оплати
Є три основні способи, за допомогою яких жертви можуть повернути свій бізнес на рейки без оплати після успішної атаки блокування файлів у всій мережі:
- Майте надійний і ефективний план відновлення. Загалом, це означає не лише наявність першокласного процесу створення резервних копій, а й знання того, як уберегти принаймні одну резервну копію всього від афілійованих програм-вимагачів (вони не люблять нічого кращого, ніж знаходити та знищувати ваші резервні копії в Інтернеті, перш ніж запускати завершальна фаза їх атаки). Ви також повинні навчитися надійно та швидко відновлювати ці резервні копії, щоб це було життєздатною альтернативою простой оплаті.
- Знайдіть недолік у процесі блокування файлів, який використовують зловмисники. Зазвичай шахраї-вимагачі «замикають» ваші файли, шифруючи їх за допомогою того самого типу безпечної криптографії, який ви можете використовувати самі, захищаючи свій веб-трафік або власні резервні копії. Однак інколи основна банда допускає одну або кілька програмних помилок, які можуть дозволити вам скористатися безкоштовним інструментом для «зламу» розшифровки та відновлення без оплати. Однак майте на увазі, що цей шлях до одужання відбувається завдяки удачі, а не задумом.
- Здобути справжні паролі або ключі відновлення іншим способом. Хоча це трапляється рідко, це може статися декількома способами, як-от: виявити всередині банди перебійника, який випустить ключі через покору сумління чи вибух злості; виявлення помилки безпеки мережі, що дозволяє контратакою отримати ключі з власних прихованих серверів шахраїв; або проникнення в банду та отримання таємного доступу до необхідних даних у мережі злочинців.
Останній з них, інфільтрація, так каже Міністерство юстиції вдалося зробити принаймні для деяких жертв Hive з липня 2022 року, очевидно, замикаючи вимоги шантажу на загальну суму понад 130 мільйонів доларів США, що стосуються понад 300 окремих атак, лише за шість місяців.
Ми припускаємо, що сума в 130 мільйонів доларів базується на початкових вимогах зловмисників; Шахраї-вимагачі іноді погоджуються на нижчі виплати, віддаючи перевагу взяти щось, ніж нічого, хоча пропоновані «знижки» часто, здається, зменшують виплати лише від недосяжно величезних до неймовірно величезних. Середній середній попит на основі наведених вище цифр становить 130 мільйонів доларів США/300, або близько 450,000 XNUMX доларів США на жертву.
Лікарні вважалися справедливими цілями
Як зазначає Міністерство юстиції, багато груп програм-вимагачів загалом і команда Hive зокрема сприймають будь-які мережі як чесну гру для шантажу, атакуючи державні організації, такі як школи та лікарні, з тією ж енергією, яку вони використовують проти найбагатші комерційні компанії:
[Г]рупа програм-вимагачів Hive […] націлила понад 1500 жертв у понад 80 країнах світу, включаючи лікарні, шкільні округи, фінансові фірми та критичну інфраструктуру.
На жаль, незважаючи на те, що проникнення в сучасну банду кіберзлочинців може дати вам фантастичне уявлення про TTP цієї банди (інструменти, техніки та процедури), і – як у цьому випадку – дають вам шанс перешкодити їхнім операціям, підриваючи процес шантажу, на якому ґрунтуються ці кричущі вимоги вимагання…
…знання навіть пароля адміністратора банди до ІТ-інфраструктури злочинців, що базується на темній мережі, зазвичай не скаже вам, де ця інфраструктура розташована.
Двонаправлена псевдоанонімність
Один із чудових/жахливих аспектів темної мережі (залежно від того, чому ви ним користуєтеся та на чиєму боці ви), зокрема Tor (скорочено для цибулевий маршрутизатор), яку сьогодні широко віддають перевагу злочинцям-вимагачам, можна назвати її двонаправленою псевдоанонімністю.
Darkweb не тільки приховує особистість і місцезнаходження користувачів, які підключаються до серверів, розміщених на ньому, але також приховує розташування самих серверів від клієнтів, які відвідують.
Сервер (принаймні здебільшого) не знає, хто ви є, коли ви входите в систему, що приваблює таких клієнтів, як філії кіберзлочинців і потенційних покупців наркотиків у темній мережі, оскільки вони, як правило, відчувають, що вони будуть здатний безпечно втекти, навіть якщо основних операторів банди затримають.
Подібним чином шахраїв-операторів серверів приваблює той факт, що навіть якщо їхніх клієнтів, афілійованих осіб або власних системних адміністраторів затримають, повернуть або зламуть правоохоронні органи, вони не зможуть розкрити, хто є основними членами банди або де вони розміщувати їх зловмисну онлайн-діяльність.
Зняття нарешті
Здається, причиною вчорашнього прес-релізу Міністерства юстиції є те, що слідчі ФБР за допомогою правоохоронних органів Німеччини та Нідерландів ідентифікували, розташували та конфіскували сервери темної мережі, які використовувала банда Hive:
Нарешті, сьогодні департамент оголосив [2023-01-26], що в координації з правоохоронними органами Німеччини (Федеральною кримінальною поліцією Німеччини та штаб-квартирою поліції Ройтлінгена-CID Esslingen) і Національним відділом боротьби зі злочинністю у сфері високих технологій Нідерландів він захопив контроль над сервери та веб-сайти, які використовує Hive для зв’язку зі своїми учасниками, порушуючи здатність Hive атакувати та вимагати жертв.
Що ж робити?
Ми написали цю статтю, щоб аплодувати ФБР та його партнерам з правоохоронних органів у Європі за те, що вони дійшли так далеко…
… розслідування, проникнення, розвідка та, нарешті, нанесення удару з метою зруйнувати поточну інфраструктуру цієї сумнозвісної команди програм-вимагачів із їхніми шантажними вимогами в середньому півмільйона доларів і їхньою готовністю знищувати лікарні з такою ж готовністю, як і будь-кого. чужа мережа.
На жаль, ви, мабуть, уже чули таке кліше кіберзлочинності не терпить вакууму, і це, на жаль, справедливо як для операторів програм-вимагачів, так і для будь-якого іншого аспекту онлайн-злочинності.
Якщо основних членів угруповання не заарештовано, вони можуть просто залягти на деякий час, а потім з’явитися під новим іменем (або, можливо, навіть навмисне та зарозуміло відродити свій старий «бренд») з новими серверами, знову доступними на darkweb, але в новому та тепер невідомому місці.
Або інші банди програм-вимагачів просто нарощують свою діяльність, сподіваючись залучити деяких «філій», які раптово залишилися без прибуткового незаконного потоку доходу.
У будь-якому випадку, подібні видалення — це те, що нам терміново потрібно, що нам потрібно радіти, коли вони трапляються, але це навряд чи лише тимчасово вплине на кіберзлочинність у цілому.
Щоб зменшити кількість грошей, які шахраї-вимагачі висмоктують з нашої економіки, ми маємо прагнути до запобігання кіберзлочинам, а не просто до лікування.
Виявлення, реагування на потенційні атаки програм-вимагачів і запобігання таким чином потенційним атакам програм-вимагачів перед їх початком або під час їх розгортання або навіть в останній момент, коли шахраї намагаються розв’язати останній процес шифрування файлів у вашій мережі, завжди краще, ніж стрес від спроби оговтатися від фактичного нападу.
Як пан Міагі, відомий Карате Кід, свідомо зауважив, «Найкращий спосіб уникнути удару – не бути поруч».
СЛУХАЙТЕ ЗАРАЗ: ОДИН ДЕНЬ З ЖИТТЯ БОРЕЦЯ З КІБЕРЗЛОЧИННОСТЮ
Пол Даклін розмовляє з Пітер Макензі, директора відділу реагування на інциденти в Sophos, на сесії з кібербезпеки, яка однаково насторожить, розважить і навчить вас.
Дізнайтеся, як зупинити шахраїв-вимагачів, перш ніж вони зупинять вас! (Повний стенограма доступно.)
Натисніть і перетягніть звукові хвилі нижче, щоб перейти до будь-якої точки. Ви також можете слухати безпосередньо на Soundcloud.
Не вистачає часу чи досвіду для реагування на загрози кібербезпеці? Хвилюєтеся, що кібербезпека зрештою відволікатиме вас від усіх інших справ, які вам потрібно зробити? Не знаєте, як реагувати на повідомлення про безпеку від співробітників, які щиро хочуть допомогти?
Дізнатися більше про Кероване виявлення та реагування Sophos:
Цілодобове полювання на загрози, виявлення та реагування ▶
- Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
- Платоблокчейн. Web3 Metaverse Intelligence. Розширені знання. Доступ тут.
- джерело: https://nakedsecurity.sophos.com/2023/01/27/hive-ransomware-servers-shut-down-at-last-says-fbi/
- 000
- 1
- 2022
- a
- здатність
- Здатний
- МЕНЮ
- вище
- абсолют
- доступ
- доступною
- аварія
- через
- діяльності
- філія
- Філії
- після
- проти
- тривога
- ВСІ
- Дозволити
- вже
- альтернатива
- хоча
- завжди
- кількість
- та
- оголошений
- анонімність
- будь
- навколо
- розташування
- арештований
- стаття
- зовнішній вигляд
- аспекти
- Допомога
- асоційований
- атака
- Атакуючий
- нападки
- приваблюваний
- Приваблює
- автор
- автоматичний
- доступний
- середній
- назад
- фон
- фонове зображення
- резервна копія
- резервне копіювання
- заснований
- оскільки
- перед тим
- нижче
- Краще
- Шантаж
- Блокувати
- border
- дно
- Перерва
- офіс
- бізнес
- підприємства
- покупців
- call
- Може отримати
- який
- випадок
- Центр
- звичайно
- шанс
- вибір
- клієнтів
- близько
- color
- комерційний
- спілкуватися
- Компанії
- комп'ютери
- З'єднуватися
- вважається
- контроль
- координація
- Core
- країни
- обкладинка
- створювати
- створення
- Злочин
- Кримінальну
- злочинці
- критичний
- Критична інфраструктура
- Круки
- криптографія
- лікування
- Поточний
- кіберзлочинності
- КІБЕРЗЛОЧИНЦІВ
- кіберзлочинці
- Кібербезпека
- темна мережа
- дані
- день
- Днів
- Попит
- запити
- відділ
- управління юстиції
- Міністерство юстиції (МЮ)
- Залежно
- дизайн
- знищити
- Виявлення
- Директор
- дисплей
- Зрив
- Ні
- справи
- ДоЙ
- доларів
- вниз
- наркотик
- кожен
- економіка
- виховувати
- ефективний
- В іншому
- співробітників
- примус
- досить
- Європа
- Навіть
- постійно змінюється
- все
- експертиза
- вимагання
- витяг
- ярмарок
- FAME
- фантастичний
- fbi
- Федеральний
- Федеральне бюро розслідувань
- Рисунок
- цифри
- філе
- Файли
- остаточний
- заключна фаза
- в кінці кінців
- фінансовий
- знайти
- виявлення
- фірми
- відповідати
- недолік
- Франшиза
- Безкоштовна
- від
- заморожені
- Повний
- гра
- Банда
- Загальне
- в цілому
- німецька
- Німеччина
- отримати
- отримання
- Давати
- Go
- мета
- Group
- Групи
- зламаний
- траплятися
- відбувається
- щасливий
- має
- почутий
- висота
- допомога
- прихований
- Високий
- Вулик
- тримати
- сподіваючись
- лікарні
- господар
- відбувся
- hover
- Як
- How To
- Однак
- HTML
- HTTPS
- величезний
- Полювання
- ідентифікований
- ідентифікує
- тотожності
- Особистість
- важливо
- in
- інцидент
- реагування на інциденти
- У тому числі
- індивідуальний
- Інфраструктура
- початковий
- розуміння
- дослідження
- Слідчі
- залучати
- IT
- липень
- юстиція
- Кін
- тримати
- ключ
- ключі
- дитина
- Знати
- Знання
- відомий
- великий
- в значній мірі
- останній
- закон
- правозастосування
- витік
- Залишати
- життя
- трохи
- розташований
- розташування
- місць
- локаут
- низький
- удача
- головний
- РОБОТИ
- Робить
- вдалося
- багато
- Маржа
- макс-ширина
- засоби
- вимір
- члени
- просто
- може бути
- мільйона
- мільйонів доларів
- модель
- сучасний
- момент
- гроші
- місяців
- більше
- найбільш
- мотивовані
- Гола безпека
- ім'я
- National
- Необхідність
- необхідний
- Нідерланди
- мережу
- мережева безпека
- мереж
- Нові
- нормальний
- особливо
- горезвісний
- запропонований
- Старий
- ONE
- онлайн
- операції
- Оператори
- порядок
- організації
- Інше
- інакше
- власний
- оплачувану
- частина
- приватність
- партнери
- Пароль
- Паролі
- шлях
- Платити
- платіж
- оплата
- платежі
- народний
- може бути
- фаза
- план
- plato
- Інформація про дані Платона
- PlatoData
- точка
- точок
- Police
- положення
- це можливо
- Пости
- потенціал
- press
- Прес-реліз
- попередження
- Попередження
- ймовірно
- процес
- Програмування
- програми
- перфоратор
- put
- швидко
- рейки
- Рамп
- вимагачів
- Вимагальні програми
- РІДНІ
- причина
- Відновлювати
- відновлення
- зменшити
- звільнити
- Звіти
- Реагувати
- відповідь
- повертати
- показувати
- виявлення
- revenue
- Відроджувати
- міцний
- прогін
- біг
- сейф
- безпечно
- то ж
- Школа
- Школи
- безпечний
- забезпечення
- безпеку
- Здається,
- вилучено
- Сесія
- кілька
- Щит
- Короткий
- Вимикати
- просто
- з
- SIX
- Шість місяців
- So
- solid
- деякі
- що в сім'ї щось
- розмова
- Навпроти
- весна
- стенди
- старт
- почалася
- залишатися
- Стоп
- потік
- стрес
- успішний
- такі
- раптовий
- оточений
- SVG
- Приймати
- Переговори
- цільове
- технології
- методи
- тимчасовий
- Команда
- Нідерланди
- світ
- їх
- самі
- речі
- загроза
- три
- час
- до
- сьогоднішній
- інструмент
- інструменти
- топ
- Усього:
- трафік
- перехід
- прозорий
- лікувати
- правда
- Опинився
- типово
- при
- розгортання
- блок
- розв'язати
- відімкнути
- URL
- us
- Міністерство юстиції США
- використання
- користувачі
- зазвичай
- величезний
- viable
- Жертва
- жертви
- способи
- Web
- Веб-трафік
- веб-сайти
- Що
- Чи
- який
- в той час як
- ВООЗ
- широко
- широко поширений
- волі
- Готовність
- без
- світ
- хвилювалися
- письменник
- вашу
- себе
- зефірнет