Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Uderzyli w Hive – jedną z bardziej aktywnych grup ransomware. Zwinięta infrastruktura, odzyskane 1300 kluczy deszyfrujących (!)
Całość to pokłosie wspólnej operacji Europolu oraz FBI. Grupa Hive działała w dość standardowym modelu: ekipa atakująca / wymuszająca okup (inkasowała ona 80% okupu) oraz deweloperzy głównego „produktu” (20%).
Historycznie, czasem udawało się odszyfrować pliki zainfekowane Hive (patrz: Przyspieszony kurs łamania kryptografii Hive ransomware ;-)), ale teraz nie ma to już dużego znaczenia, bowiem:
the FBI has provided over 300 decryption keys to Hive victims who were under attack. In addition, the FBI distributed over 1,000 additional decryption keys to previous Hive victims.
Wszystko wskazuje na to, że do przejęcia infrastruktury Hive użyto zdolności cyber-ofensywnych. Reuters donosi:
Using lawful means, we hacked the hackers – Monaco told reporters [Lisa Monaco – zastępca prokuratora generalnego USA]
Przy okazji możecie zobaczyć na listę części domniemanych ofiar Hive – o tutaj.
~ms
Co znaczy ten standardowy model? Myślałem że to zawsze atakujący ogarniają development i sami tworzą te narzędzia i atakują. A jak działa taki podział jak w artykule? Developerzy sprzedają swoje narzędzie grupom które chcą kogoś zaatakować? Devy nie koniecznie znają się z atakującymi?
standardowy model to ransomware as a service, istnieją też usługi initial access as a service itp, plankton chainuje te usługi i zgarnia swoją część. Jak w korporacyjnej chmurze :)
RaaS ransomware as a service
Dobra wiadomość. I przypomina, że mimo wszystko warto trzymać zaszyfrowane dane chociaż przez kilka lat. Nigdy nie wiadomo kiedy taka grupa zaliczy wpadkę i będzie można odzyskać dane za friko.
Mam nadzieję, że będzie też z tego jakiś raport
Dokładnie tak, sam trzymam zaszyfrowane dane znajomej, która padła ofiarą faktury play. Swoją drogą jest jakaś strona, która pomoże zweryfikować czy pojawiła się możliwość odszyfrowania danych? O ile pamiętam to coś pokroju cryptolocker było, a działo się to z 6-8 lat temu jak dobrze kojarzę jak nie wcześniej.
Dodatkowo dodam, że dysponuję oryginalnym plikiem jak i zaszyfrowanym i to kilkoma.
@asa sprawdzałeś może http://www.nomoreransom.org?