Сервери програм-вимагачів Hive нарешті припинили роботу, повідомляє ФБР

Сервери програм-вимагачів Hive нарешті припинили роботу, повідомляє ФБР

Мітка часу: 27 січня 2023 р. 12:58
Вихідний вузол: 1924152
by Гола безпека письменника

півроку тому, відповідно до Міністерства юстиції США (DOJ), Федеральне бюро розслідувань (ФБР) проникло в банду програм-вимагачів Hive і почало «викрадати» ключі дешифрування для жертв, чиї файли були зашифровані.

Як ви майже напевно і, на жаль, знаєте, атаки програм-вимагачів сьогодні зазвичай включають дві асоційовані групи кіберзлочинців.

Ці групи часто «знають» одна одну лише за псевдонімами та «зустрічаються» лише в Інтернеті, використовуючи інструменти анонімності, щоб уникнути насправді знати (або розкривати, випадково чи надумано) один одного в реальному житті та місцезнаходження.

Основні члени угруповання здебільшого залишаються у фоновому режимі, створюючи шкідливі програми, які кодують (або іншим чином блокують доступ до) усі ваші важливі файли, використовуючи ключ доступу, який вони залишають собі після нанесення шкоди.

Вони також ведуть одну або кілька «платіжних сторінок» темної мережі, на яких жертви, грубо кажучи, платять гроші шантажу в обмін на ці ключі доступу, що дозволяє їм розблокувати свої заморожені комп’ютери та відновити роботу своїх компаній.

Кримінальне програмне забезпечення як послуга

Цю основну групу оточує, ймовірно, велика та постійно мінлива група «філій» — партнерів у злочині, які проникають у мережі інших людей, щоб якомога ширше та глибше запровадити «програми нападу» ядра банди.

Їхня мета, мотивована «комісійною винагородою», яка може сягати 80% від загальної суми сплаченого шантажу, полягає в тому, щоб створити такий широкомасштабний і раптовий збій у бізнесі, щоб вони могли не лише вимагати грандіозного вимагання, але й щоб жертва не мала іншого вибору, окрім як заплатити.

Ця схема загальновідома як RaaS or CaaS, скорочено вимагачів (Або злочинне програмне забезпечення) як послуга, ім’я, яке іронічно нагадує про те, що кримінальний світ кіберзлочинців із задоволенням копіює партнерську або франчайзингову модель, яку використовують багато законних компаній.

Відновлення без оплати

Є три основні способи, за допомогою яких жертви можуть повернути свій бізнес на рейки без оплати після успішної атаки блокування файлів у всій мережі:

  • Майте надійний і ефективний план відновлення. Загалом, це означає не лише наявність першокласного процесу створення резервних копій, а й знання того, як уберегти принаймні одну резервну копію всього від афілійованих програм-вимагачів (вони не люблять нічого кращого, ніж знаходити та знищувати ваші резервні копії в Інтернеті, перш ніж запускати завершальна фаза їх атаки). Ви також повинні навчитися надійно та швидко відновлювати ці резервні копії, щоб це було життєздатною альтернативою простой оплаті.
  • Знайдіть недолік у процесі блокування файлів, який використовують зловмисники. Зазвичай шахраї-вимагачі «замикають» ваші файли, шифруючи їх за допомогою того самого типу безпечної криптографії, який ви можете використовувати самі, захищаючи свій веб-трафік або власні резервні копії. Однак інколи основна банда допускає одну або кілька програмних помилок, які можуть дозволити вам скористатися безкоштовним інструментом для «зламу» розшифровки та відновлення без оплати. Однак майте на увазі, що цей шлях до одужання відбувається завдяки удачі, а не задумом.
  • Здобути справжні паролі або ключі відновлення іншим способом. Хоча це трапляється рідко, це може статися декількома способами, як-от: виявити всередині банди перебійника, який випустить ключі через покору сумління чи вибух злості; виявлення помилки безпеки мережі, що дозволяє контратакою отримати ключі з власних прихованих серверів шахраїв; або проникнення в банду та отримання таємного доступу до необхідних даних у мережі злочинців.

Останній з них, інфільтрація, так каже Міністерство юстиції вдалося зробити принаймні для деяких жертв Hive з липня 2022 року, очевидно, замикаючи вимоги шантажу на загальну суму понад 130 мільйонів доларів США, що стосуються понад 300 окремих атак, лише за шість місяців.

Ми припускаємо, що сума в 130 мільйонів доларів базується на початкових вимогах зловмисників; Шахраї-вимагачі іноді погоджуються на нижчі виплати, віддаючи перевагу взяти щось, ніж нічого, хоча пропоновані «знижки» часто, здається, зменшують виплати лише від недосяжно величезних до неймовірно величезних. Середній середній попит на основі наведених вище цифр становить 130 мільйонів доларів США/300, або близько 450,000 XNUMX доларів США на жертву.

Лікарні вважалися справедливими цілями

Як зазначає Міністерство юстиції, багато груп програм-вимагачів загалом і команда Hive зокрема сприймають будь-які мережі як чесну гру для шантажу, атакуючи державні організації, такі як школи та лікарні, з тією ж енергією, яку вони використовують проти найбагатші комерційні компанії:

[Г]рупа програм-вимагачів Hive […] націлила понад 1500 жертв у понад 80 країнах світу, включаючи лікарні, шкільні округи, фінансові фірми та критичну інфраструктуру.

На жаль, незважаючи на те, що проникнення в сучасну банду кіберзлочинців може дати вам фантастичне уявлення про TTP цієї банди (інструменти, техніки та процедури), і – як у цьому випадку – дають вам шанс перешкодити їхнім операціям, підриваючи процес шантажу, на якому ґрунтуються ці кричущі вимоги вимагання…

…знання навіть пароля адміністратора банди до ІТ-інфраструктури злочинців, що базується на темній мережі, зазвичай не скаже вам, де ця інфраструктура розташована.

Двонаправлена ​​псевдоанонімність

Один із чудових/жахливих аспектів темної мережі (залежно від того, чому ви ним користуєтеся та на чиєму боці ви), зокрема Tor (скорочено для цибулевий маршрутизатор), яку сьогодні широко віддають перевагу злочинцям-вимагачам, можна назвати її двонаправленою псевдоанонімністю.

Darkweb не тільки приховує особистість і місцезнаходження користувачів, які підключаються до серверів, розміщених на ньому, але також приховує розташування самих серверів від клієнтів, які відвідують.

Сервер (принаймні здебільшого) не знає, хто ви є, коли ви входите в систему, що приваблює таких клієнтів, як філії кіберзлочинців і потенційних покупців наркотиків у темній мережі, оскільки вони, як правило, відчувають, що вони будуть здатний безпечно втекти, навіть якщо основних операторів банди затримають.

Подібним чином шахраїв-операторів серверів приваблює той факт, що навіть якщо їхніх клієнтів, афілійованих осіб або власних системних адміністраторів затримають, повернуть або зламуть правоохоронні органи, вони не зможуть розкрити, хто є основними членами банди або де вони розміщувати їх зловмисну ​​онлайн-діяльність.

Зняття нарешті

Здається, причиною вчорашнього прес-релізу Міністерства юстиції є те, що слідчі ФБР за допомогою правоохоронних органів Німеччини та Нідерландів ідентифікували, розташували та конфіскували сервери темної мережі, які використовувала банда Hive:

Нарешті, сьогодні департамент оголосив [2023-01-26], що в координації з правоохоронними органами Німеччини (Федеральною кримінальною поліцією Німеччини та штаб-квартирою поліції Ройтлінгена-CID Esslingen) і Національним відділом боротьби зі злочинністю у сфері високих технологій Нідерландів він захопив контроль над сервери та веб-сайти, які використовує Hive для зв’язку зі своїми учасниками, порушуючи здатність Hive атакувати та вимагати жертв.

Що ж робити?

Ми написали цю статтю, щоб аплодувати ФБР та його партнерам з правоохоронних органів у Європі за те, що вони дійшли так далеко…

… розслідування, проникнення, розвідка та, нарешті, нанесення удару з метою зруйнувати поточну інфраструктуру цієї сумнозвісної команди програм-вимагачів із їхніми шантажними вимогами в середньому півмільйона доларів і їхньою готовністю знищувати лікарні з такою ж готовністю, як і будь-кого. чужа мережа.

На жаль, ви, мабуть, уже чули таке кліше кіберзлочинності не терпить вакууму, і це, на жаль, справедливо як для операторів програм-вимагачів, так і для будь-якого іншого аспекту онлайн-злочинності.

Якщо основних членів угруповання не заарештовано, вони можуть просто залягти на деякий час, а потім з’явитися під новим іменем (або, можливо, навіть навмисне та зарозуміло відродити свій старий «бренд») з новими серверами, знову доступними на darkweb, але в новому та тепер невідомому місці.

Або інші банди програм-вимагачів просто нарощують свою діяльність, сподіваючись залучити деяких «філій», які раптово залишилися без прибуткового незаконного потоку доходу.

У будь-якому випадку, подібні видалення — це те, що нам терміново потрібно, що нам потрібно радіти, коли вони трапляються, але це навряд чи лише тимчасово вплине на кіберзлочинність у цілому.

Щоб зменшити кількість грошей, які шахраї-вимагачі висмоктують з нашої економіки, ми маємо прагнути до запобігання кіберзлочинам, а не просто до лікування.

Виявлення, реагування на потенційні атаки програм-вимагачів і запобігання таким чином потенційним атакам програм-вимагачів перед їх початком або під час їх розгортання або навіть в останній момент, коли шахраї намагаються розв’язати останній процес шифрування файлів у вашій мережі, завжди краще, ніж стрес від спроби оговтатися від фактичного нападу.

Як пан Міагі, відомий Карате Кід, свідомо зауважив, «Найкращий спосіб уникнути удару – не бути поруч».

СЛУХАЙТЕ ЗАРАЗ: ОДИН ДЕНЬ З ЖИТТЯ БОРЕЦЯ З КІБЕРЗЛОЧИННОСТЮ

Пол Даклін розмовляє з Пітер Макензі, директора відділу реагування на інциденти в Sophos, на сесії з кібербезпеки, яка однаково насторожить, розважить і навчить вас.

Дізнайтеся, як зупинити шахраїв-вимагачів, перш ніж вони зупинять вас! (Повний стенограма доступно.)

Натисніть і перетягніть звукові хвилі нижче, щоб перейти до будь-якої точки. Ви також можете слухати безпосередньо на Soundcloud.

Не вистачає часу чи досвіду для реагування на загрози кібербезпеці? Хвилюєтеся, що кібербезпека зрештою відволікатиме вас від усіх інших справ, які вам потрібно зробити? Не знаєте, як реагувати на повідомлення про безпеку від співробітників, які щиро хочуть допомогти?

Дізнатися більше про Кероване виявлення та реагування Sophos:
Цілодобове полювання на загрози, виявлення та реагування  ▶

Часова мітка:

Більше від Гола безпека