FBI 表示,Hive 勒索软件服务器终于关闭了

FBI 表示,Hive 勒索软件服务器终于关闭了

时间戳记:27年2023月12日下午58:XNUMX
源节点: 1924152
by 裸体安全作家

六个月前, 根据 向美国司法部 (DOJ) 通报,联邦调查局 (FBI) 渗透到 Hive 勒索软件团伙中,并开始“偷回”文件被扰乱的受害者的解密密钥。

几乎可以肯定的是,遗憾的是,您已经意识到,如今的勒索软件攻击通常涉及两个相关的网络犯罪团体。

这些群体通常仅通过昵称彼此“认识”,并且仅在网上“见面”,使用匿名工具来避免 了解(或泄露,无论是偶然还是故意)彼此的现实身份和位置。

核心团伙成员主要留在后台,创建恶意程序来扰乱(或以其他方式阻止访问)您的所有重要文件,使用他们在损坏完成后保留的访问密钥。

他们还运行一个或多个暗网“支付页面”,从广义上讲,受害者可以向这些页面支付勒索资金,以换取这些访问密钥,从而使他们能够解锁被冻结的计算机,并让他们的公司重新运行。

犯罪软件即服务

这个核心团伙的周围是一个可能庞大且不断变化的“同伙”团体——犯罪伙伴,他们闯入他人的网络,以便尽可能广泛和深入地植入核心团伙的“攻击程序”。

他们的目标是收取可能高达敲诈勒索总额 80% 的“佣金”,他们的目标是对企业造成如此广泛和突然的破坏,以至于他们不仅可以要求支付令人眼花缭乱的勒索费用,还可以让受害者别无选择,只能付出代价。

这种安排通常被称为 RAAS or a, 短缺 勒索 (或 犯罪软件) 即服务,这个名字具有讽刺意义,提醒人们网络犯罪黑社会很乐意复制许多合法企业使用的附属或特许经营模式。

无需付费即可恢复

在成功进行全网络文件锁定攻击后,受害者可以通过三种主要方式使他们的业务恢复正常,而无需支付费用:

  • 制定稳健有效的恢复计划。 一般来说,这不仅意味着拥有一流的备份流程,还意味着知道如何确保至少一份所有内容的备份副本免受勒索软件附属机构的侵害(他们最喜欢在勒索软件发布之前找到并销毁您的在线备份)他们攻击的最后阶段)。 您还需要练习如何可靠且快速地恢复这些备份,以便这样做是一种可行的替代方案,而不是简单地付费。
  • 查找攻击者使用的文件锁定过程中的缺陷。 通常,勒索软件骗子会使用您在保护网络流量或自己的备份时可能使用的相同类型的安全加密技术来加密您的文件,从而“锁定”您的文件。 然而,偶尔,核心团伙会犯一个或多个编程错误,这可能会让您使用免费工具“破解”解密并无需付费即可恢复。 但请注意,这条恢复之路是靠运气,而不是有意为之。
  • 通过其他方式获取实际的恢复密码或密钥。 虽然这种情况很少见,但有几种可能发生的情况,例如:识别团伙内部的叛徒,他会出于良心或恶意而泄露钥匙; 发现网络安全错误,允许反击从骗子自己的隐藏服务器中提取密钥; 或者渗透到该团伙并秘密访问犯罪分子网络中所需的数据。

其中最后一个, 浸润,就是 DOJ 所说的 能够做到 自 2022 年 130 月以来,至少对一些 Hive 受害者来说,短短六个月内,与 300 多次个人攻击有关的勒索要求明显短路,总额超过 XNUMX 亿美元。

我们假设 130 亿美元的数字是基于攻击者的最初要求; 勒索软件骗子有时最终会同意降低付款额,宁愿拿走一些东西,也不愿什么都不拿,尽管提供的“折扣”通常似乎只是将付款额从难以承受的巨额减少到令人眼花缭乱的巨额。 根据上述数字,平均需求为 130 亿美元/300 美元,即每个受害者接近 450,000 万美元。

医院被视为公平目标

正如司法部指出的那样,许多勒索软件团伙,特别是 Hive 人员,将任何和所有网络视为勒索的公平游戏,以与攻击学校和医院等公共资助组织相同的力度攻击。最富有的商业公司:

Hive 勒索软件组织已针对全球 1500 多个国家的 80 多名受害者,包括医院、学区、金融公司和关键基础设施。

不幸的是,尽管渗透现代网络犯罪团伙可能会让您深入了解该团伙的 TTP(工具、技术和程序),并且 - 就像在这种情况下 - 让您有机会通过颠覆那些令人眼花缭乱的勒索要求所依据的勒索过程来扰乱他们的运作......

…即使知道犯罪分子基于暗网的 IT 基础设施的帮派管理员密码,通常也无法告诉您该基础设施位于何处。

双向伪匿名

暗网伟大/可怕的方面之一(取决于您使用它的原因以及您站在哪一边),尤其是 (短缺 洋葱路由器)网络受到当今勒索软件犯罪分子的广泛青睐,您可以将其称为双向伪匿名。

暗网不仅屏蔽连接到其托管服务器的用户的身份和位置,还向访问的客户端隐藏服务器本身的位置。

服务器(至少在大多数情况下)不知道您登录时的身份,这吸引了网络犯罪附属机构和潜在的暗网毒品购买者等客户,因为他们往往认为自己会被即使核心帮派成员被抓获,也能够安全地逃跑。

同样,流氓服务器运营商也被这样一个事实所吸引:即使他们的客户、附属机构或自己的系统管理员被执法部门抓获、转向或黑客攻击,他们也无法透露核心团伙成员是谁,或者他们在哪里。托管他们的恶意在线活动。

终于下架了

好吧,司法部昨天发布新闻稿的原因似乎是联邦调查局调查人员在德国和荷兰执法部门的协助下,现已识别、定位并查获了 Hive 团伙正在使用的暗网服务器:

最后,该部门今天宣布[2023-01-26],与德国执法部门(德国联邦刑事警察和罗伊特林根警察总部-CID Esslingen)以及荷兰国家高科技犯罪部门协调,已控制了该公司Hive 用于与其成员通信的服务器和网站,破坏了 Hive 攻击和勒索受害者的能力。

怎么办呢?

我们写这篇文章是为了赞扬联邦调查局及其在欧洲的执法合作伙伴取得的进展……

……调查、渗透、侦察,最后发起攻击,摧毁了这个臭名昭著的勒索软件团队的现有基础设施,他们的勒索要求平均达到 XNUMX 万美元,而且他们愿意像追捕任何人一样轻易地摧毁医院别人的网络。

不幸的是,你可能已经听过这样的陈词滥调: 网络犯罪厌恶真空令人遗憾的是,对于勒索软件运营商来说,就像网络犯罪的任何其他方面一样。

如果核心团伙成员没有被捕,他们可能只是隐藏一段时间,然后以新的名字出现(甚至可能故意和傲慢地恢复他们的旧“品牌”),并使用新的服务器,可以再次在网络上访问暗网但位于一个新的且现在未知的位置。

或者其他勒索软件团伙只会加大行动力度,希望吸引一些突然失去利润丰厚的非法收入来源的“附属机构”。

不管怎样,像这样的打击行动是我们迫切需要的,当它们发生时我们需要欢呼,但这不太可能对整个网络犯罪产生暂时的影响。

为了减少勒索软件骗子从我们经济中榨取的资金,我们需要致力于预防网络犯罪,而不仅仅是治愈网络犯罪。

在潜在的勒索软件攻击开始之前,或者在它们展开时,甚至在骗子试图在您的网络上发起最终文件扰乱过程的最后一刻,检测、响应并从而阻止它们,总是比试图从实际攻击中恢复的压力。

正如《空手道小子》中的 Miagi 先生一样, 故意评论, “避免受到殴打的最佳方法是——不要在那里。”

立即收听:网络犯罪斗士的一天

保罗·达克林与 彼得·麦肯齐,Sophos 的事件响应总监,在网络安全会议上,将以同等的方式警告、娱乐和教育您。

了解如何在勒索软件骗子阻止您之前阻止他们! (满的 抄本 可用。)

单击并拖动下面的声波以跳到任何一点。你也可以 直接听 在 Soundcloud 上。

缺乏时间或专业知识来处理网络安全威胁响应? 担心网络安全最终会分散您对所有其他需要做的事情的注意力? 不确定如何回应真正热心提供帮助的员工的安全报告?

进一步了解 Sophos 托管检测和响应:
24/7 威胁追踪、检测和响应  ▶

时间戳记:

更多来自 裸体安全