FBI cho biết các máy chủ ransomware Hive cuối cùng đã ngừng hoạt động

Sáu tháng trước, theo tới Bộ Tư pháp Hoa Kỳ (DOJ), Cục Điều tra Liên bang (FBI) đã thâm nhập băng nhóm ransomware Hive và bắt đầu “lấy lại” các khóa giải mã của các nạn nhân có tệp đã bị xáo trộn.

Như bạn gần như chắc chắn và đáng buồn là đã biết, các cuộc tấn công ransomware ngày nay thường liên quan đến hai nhóm tội phạm mạng có liên quan.

Các nhóm này thường chỉ “biết” nhau bằng biệt hiệu và chỉ “gặp mặt” trực tuyến, sử dụng các công cụ ẩn danh để tránh thực sự biết (hoặc tiết lộ, dù vô tình hay cố ý) danh tính và vị trí ngoài đời thực của nhau.

Các thành viên cốt lõi của băng đảng phần lớn ẩn dưới nền tảng, tạo ra các chương trình độc hại tranh giành (hoặc nói cách khác là chặn quyền truy cập vào) tất cả các tệp quan trọng của bạn, sử dụng khóa truy cập mà chúng giữ cho riêng mình sau khi thiệt hại được thực hiện.

Họ cũng điều hành một hoặc nhiều “trang thanh toán” darkweb nơi các nạn nhân, nói một cách đại khái, sẽ trả tiền tống tiền để đổi lấy các khóa truy cập đó, do đó cho phép họ mở khóa máy tính bị đóng băng và đưa công ty của họ hoạt động trở lại.

Phần mềm tội phạm dưới dạng dịch vụ

Nhóm cốt lõi này được bao quanh bởi một nhóm “đồng bọn” có thể lớn và luôn thay đổi – những đối tác phạm tội đột nhập vào mạng của người khác để cài đặt “các chương trình tấn công” của băng nhóm cốt lõi một cách rộng rãi và sâu nhất có thể.

Mục tiêu của họ, được thúc đẩy bởi “phí hoa hồng” có thể lên tới 80% tổng số tiền tống tiền đã trả, là tạo ra sự gián đoạn lan rộng và đột ngột đối với một doanh nghiệp đến mức họ không chỉ có thể yêu cầu một khoản thanh toán tống tiền đáng kinh ngạc mà còn khiến nạn nhân không còn lựa chọn nào khác ngoài việc trả tiền.

Sự sắp xếp này thường được gọi là RaaS or CaaS, viết tắt của ransomware (Hoặc phần mềm tội phạm) như một dịch vụ, một cái tên giống như một lời nhắc nhở mỉa mai rằng thế giới ngầm của tội phạm mạng rất vui khi sao chép mô hình liên kết hoặc nhượng quyền được nhiều doanh nghiệp hợp pháp sử dụng.

Phục hồi mà không phải trả tiền

Có ba cách chính để nạn nhân có thể khôi phục hoạt động kinh doanh của mình mà không phải trả tiền sau một cuộc tấn công khóa tệp trên toàn mạng thành công:

• Có một kế hoạch phục hồi mạnh mẽ và hiệu quả. Nói chung, điều này có nghĩa là không chỉ có quy trình hàng đầu để tạo bản sao lưu mà còn phải biết cách giữ ít nhất một bản sao lưu của mọi thứ an toàn khỏi các chi nhánh của ransomware (chúng không thích gì hơn là tìm và hủy các bản sao lưu trực tuyến của bạn trước khi giải phóng giai đoạn cuối cùng của cuộc tấn công của họ). Bạn cũng cần phải thực hành cách khôi phục các bản sao lưu đó một cách đáng tin cậy và đủ nhanh để làm như vậy là một giải pháp thay thế khả thi cho việc chỉ cần thanh toán bằng mọi cách.
• Tìm một lỗ hổng trong quá trình khóa tệp được sử dụng bởi những kẻ tấn công. Thông thường, những kẻ lừa đảo ransomware “khóa” các tệp của bạn bằng cách mã hóa chúng bằng chính loại mật mã bảo mật mà bạn có thể tự sử dụng khi bảo mật lưu lượng truy cập web hoặc các bản sao lưu của chính mình. Tuy nhiên, đôi khi, nhóm cốt lõi mắc một hoặc nhiều lỗi lập trình có thể cho phép bạn sử dụng một công cụ miễn phí để “bẻ khóa” quá trình giải mã và khôi phục mà không phải trả tiền. Tuy nhiên, hãy lưu ý rằng con đường phục hồi này xảy ra do may mắn chứ không phải do thiết kế.
• Giữ mật khẩu hoặc khóa khôi phục thực tế theo một số cách khác. Mặc dù điều này hiếm khi xảy ra, nhưng có một số cách nó có thể xảy ra, chẳng hạn như: xác định một kẻ phản bội trong băng đảng, kẻ sẽ làm rò rỉ chìa khóa do lương tâm cắn rứt hoặc do tức giận; tìm ra một lỗi bảo mật mạng cho phép thực hiện một cuộc phản công để trích xuất các khóa từ máy chủ ẩn của chính kẻ gian; hoặc thâm nhập vào băng đảng và có quyền truy cập bí mật vào dữ liệu cần thiết trong mạng của bọn tội phạm.

Cuối cùng trong số này, xâm nhập, là những gì DOJ nói đó là đã có thể làm đối với ít nhất một số nạn nhân của Hive kể từ tháng 2022 năm 130, dường như yêu cầu tống tiền ngắn mạch với tổng trị giá hơn 300 triệu đô la, liên quan đến hơn XNUMX cuộc tấn công riêng lẻ, chỉ trong sáu tháng.

Chúng tôi giả định rằng con số 130 triệu USD dựa trên yêu cầu ban đầu của những kẻ tấn công; kẻ lừa đảo tống tiền đôi khi đồng ý với các khoản thanh toán thấp hơn, thích lấy thứ gì đó hơn là không có gì, mặc dù các khoản “giảm giá” được cung cấp dường như chỉ làm giảm các khoản thanh toán từ mức khổng lồ không thể chi trả được xuống mức khổng lồ đến kinh ngạc. Nhu cầu trung bình trung bình dựa trên các số liệu trên là 130 triệu đô la/300, hoặc gần 450,000 đô la cho mỗi nạn nhân.

Các bệnh viện được coi là mục tiêu công bằng

Như DOJ đã chỉ ra, nhiều băng nhóm ransomware nói chung và nhóm Hive nói riêng coi bất kỳ và tất cả các mạng là trò chơi công bằng để tống tiền, tấn công các tổ chức được tài trợ công như trường học và bệnh viện với cùng mức độ mà chúng sử dụng để chống lại các công ty thương mại giàu có nhất:

[T]he Nhóm ransomware Hive […] đã nhắm mục tiêu hơn 1500 nạn nhân tại hơn 80 quốc gia trên thế giới, bao gồm bệnh viện, khu học chánh, công ty tài chính và cơ sở hạ tầng quan trọng.

Thật không may, mặc dù thâm nhập vào một băng đảng tội phạm mạng hiện đại có thể cung cấp cho bạn thông tin chi tiết tuyệt vời về TTP của băng đảng (công cụ, kỹ thuật và thủ tục), và – như trong trường hợp này – cho bạn cơ hội làm gián đoạn hoạt động của họ bằng cách phá vỡ quy trình tống tiền dựa trên đó những yêu cầu tống tiền đáng kinh ngạc đó…

…việc biết ngay cả mật khẩu của quản trị viên băng đảng đối với cơ sở hạ tầng CNTT dựa trên darkweb của bọn tội phạm thường không cho bạn biết cơ sở hạ tầng đó nằm ở đâu.

Giả danh hai chiều

Một trong những khía cạnh tuyệt vời/khủng khiếp của darkweb (tùy thuộc vào lý do bạn sử dụng nó và bạn đứng về phía nào), đáng chú ý là Tor (viết tắt của bộ định tuyến củ hành) được ưa chuộng rộng rãi bởi bọn tội phạm ransomware ngày nay, là cái mà bạn có thể gọi là giả danh hai chiều của nó.

Darkweb không chỉ che chắn danh tính và vị trí của người dùng kết nối với máy chủ được lưu trữ trên đó mà còn che giấu vị trí của chính máy chủ với khách hàng truy cập.

Máy chủ (ít nhất là phần lớn) không biết bạn là ai khi bạn đăng nhập, đó là điều thu hút các khách hàng như các chi nhánh tội phạm mạng và những người sẽ mua ma túy trên darkweb, bởi vì họ có xu hướng cảm thấy rằng họ sẽ có thể cắt và chạy một cách an toàn, ngay cả khi những người điều hành băng đảng cốt lõi bị bắt.

Tương tự như vậy, những người điều hành máy chủ giả mạo bị thu hút bởi thực tế là ngay cả khi khách hàng, chi nhánh hoặc quản trị viên hệ thống của họ bị cơ quan thực thi pháp luật bắt, lật tẩy hoặc tấn công, họ sẽ không thể tiết lộ ai là thành viên cốt lõi của băng đảng hoặc họ ở đâu. lưu trữ các hoạt động trực tuyến độc hại của họ.

gỡ xuống cuối cùng

Chà, có vẻ như lý do cho thông cáo báo chí của DOJ ngày hôm qua là các nhà điều tra của FBI, với sự hỗ trợ của cơ quan thực thi pháp luật ở cả Đức và Hà Lan, hiện đã xác định, định vị và thu giữ các máy chủ darkweb mà băng nhóm Hive đang sử dụng:

Cuối cùng, hôm nay, bộ đã thông báo[2023/01/26] rằng, phối hợp với cơ quan thực thi pháp luật Đức (Cảnh sát hình sự liên bang Đức và Trụ sở cảnh sát Reutlingen-CID Esslingen) và Đơn vị tội phạm công nghệ cao quốc gia Hà Lan, họ đã nắm quyền kiểm soát các máy chủ và trang web mà Hive sử dụng để liên lạc với các thành viên của mình, làm gián đoạn khả năng tấn công và tống tiền nạn nhân của Hive.

Phải làm gì?

Chúng tôi viết bài này để hoan nghênh FBI và các đối tác thực thi pháp luật của họ ở châu Âu đã tiến xa đến mức này…

…điều tra, xâm nhập, trinh sát lại và cuối cùng tấn công để làm nổ tung cơ sở hạ tầng hiện tại của nhóm ransomware khét tiếng này, với yêu cầu tống tiền trung bình nửa triệu đô la của họ và sự sẵn sàng tấn công bệnh viện của họ cũng dễ dàng như khi họ truy lùng bất kỳ ai mạng của người khác.

Thật không may, có lẽ bạn đã nghe câu nói sáo rỗng rằng tội phạm mạng ghê tởm khoảng trống, và điều đó thật đáng buồn đối với những kẻ vận hành mã độc tống tiền cũng như đối với bất kỳ khía cạnh nào khác của tội phạm trực tuyến.

Nếu các thành viên cốt lõi của băng đảng không bị bắt, họ có thể chỉ đơn giản là nằm yên một thời gian, rồi mọc lên dưới một cái tên mới (hoặc thậm chí có thể cố tình và kiêu ngạo hồi sinh “thương hiệu” cũ của họ) bằng các máy chủ mới, có thể truy cập lại trên darkweb nhưng tại một địa điểm mới và hiện chưa xác định.

Hoặc các nhóm ransomware khác sẽ đơn giản tăng cường hoạt động của chúng, với hy vọng thu hút được một số “chi nhánh” đột nhiên bị bỏ lại mà không có nguồn doanh thu bất hợp pháp béo bở của chúng.

Dù bằng cách nào, những cuộc triệt phá như thế này là điều chúng ta rất cần, chúng ta cần cổ vũ khi chúng xảy ra, nhưng điều đó không có khả năng tạo ra nhiều hơn một vết lõm tạm thời đối với tội phạm mạng nói chung.

Để giảm lượng tiền mà những kẻ lừa đảo tống tiền đang bòn rút khỏi nền kinh tế của chúng ta, chúng ta cần nhắm đến mục tiêu phòng chống tội phạm mạng chứ không chỉ đơn thuần là chữa bệnh.

Việc phát hiện, phản hồi và do đó ngăn chặn các cuộc tấn công ransomware tiềm tàng trước khi chúng bắt đầu hoặc trong khi chúng đang diễn ra hoặc thậm chí vào thời điểm cuối cùng, khi kẻ gian cố gắng giải phóng quy trình xáo trộn tệp cuối cùng trên mạng của bạn, luôn tốt hơn căng thẳng khi cố gắng phục hồi sau một cuộc tấn công thực sự.

Là ông Miagi, của Karate Kid nổi tiếng, cố ý nhận xét, “Cách tốt nhất để tránh cú đấm – không có ở đó.”

---

NGHE NGAY: MỘT NGÀY TRONG ĐỜI CỦA MỘT CHIẾN BINH TỘI MẠNG

Paul Ducklin nói chuyện với Peter Mackenzie, Giám đốc Ứng phó Sự cố tại Sophos, trong một phiên họp an ninh mạng sẽ cảnh báo, giải trí và giáo dục bạn, tất cả đều bình đẳng.

Tìm hiểu cách ngăn chặn những kẻ lừa đảo tống tiền trước khi chúng ngăn cản bạn! (Đầy bảng điểm có sẵn.)

---

Thiếu thời gian hoặc kiến ​​thức chuyên môn để xử lý các mối đe dọa an ninh mạng? Bạn lo lắng rằng an ninh mạng sẽ khiến bạn mất tập trung vào tất cả những việc khác mà bạn cần làm? Bạn không chắc chắn về cách phản hồi các báo cáo bảo mật từ những nhân viên thực sự muốn giúp đỡ?

Tìm hiểu thêm về Phản hồi và phát hiện được quản lý của Sophos:
Tìm kiếm, phát hiện và phản ứng mối đe dọa 24/7  ▶

---

• Phân phối nội dung và PR được hỗ trợ bởi SEO. Được khuếch đại ngay hôm nay.
• Platoblockchain. Web3 Metaverse Intelligence. Khuếch đại kiến ​​thức. Truy cập Tại đây.
• nguồn: https://nakedsecurity.sophos.com/2023/01/27/hive-ransomware-servers-shut-down-at-last-says-fbi/