May 22, 2022

PDFBEAN

Inovace rozlišují mezi vůdcem a následovníkem

Odhalení dešifrovacího klíče softwarové společnosti přichází pro mnoho obětí ničivého ransomwarového útoku příliš pozdě

7 min read

Společnost Kaseya získala dešifrovací klíč, který společnost uvedla, který by mohl uvolnit jakýkoli soubor, který je stále uzamčen škodlivým softwarem vytvořeným zločineckým gangem REvil, o kterém se předpokládá, že funguje z východní Evropy nebo Ruska.

Pro organizace, jejichž systémy byly tři týdny po útoku stále offline, nabídla nově nalezená dostupnost nástroje pro dešifrování známku naděje, zvláště poté, co REvil záhadně zmizel z internetu a nechal mnoho organizací, které se skupinou nemohly kontaktovat.

Ale pro mnoho dalších, kteří se již zotavili bez Kaseyiny pomoci, ať už splacením ransomwarového gangu před několika týdny, nebo pečlivým obnovením ze záloh, nebylo toto oznámení žádnou pomocí – a otevírá novou kapitolu zkoumání Kaseyi, protože odmítá odpovídat na otázky o tom, jak získal klíč, a zda zaplatil výkupné za 70 milionů dolarů nebo jinou částku.

„Bylo by to opravdu hezké mít před třemi týdny; nyní jsme vložili více než 2 000 hodin obnovy,“ řekl Joshua Justice, generální ředitel IT poskytovatele Just Tech, který pracoval nepřetržitě po lepší část dvou týdnů, aby získal více než 100 klientských systémů pracujících znovu ze záloh spravovaných Just Tech. „Samozřejmě naši klienti nemohli očekávat, že tu budeme sedět.“

Spravedlnost potvrdila, že nástroj, který Kaseya široce zpřístupnil, pro něj fungoval. Mluvčí Kaseya Dana Liedholm v pátek ve svém prohlášení pro CNN uvedla, že mezi získáním nástroje a oznámením jeho existence uplynulo „méně než 24 hodin“ a že poskytuje dešifrovací klíč firmám technické podpory, které jsou jejími zákazníky – což na oplátku použije tento nástroj k odemknutí počítačů bezpočtu restaurací, účetních kanceláří a zubních ordinací zasažených hackerem.

Podle několika odborníků v oblasti kybernetické bezpečnosti spolupracujících s dotčenými společnostmi požaduje společnost Kaseya za účelem přístupu k tomuto nástroji, aby podniky podepsaly dohodu o zachování mlčenlivosti. I když takové dohody nejsou v tomto odvětví neobvyklé, mohly by ztížit pochopení toho, co se stalo po následcích incidentu. Kaseya odmítla komentovat dohody o mlčenlivosti.

Frustrace

Podle Andrewa Kaisera, viceprezidenta pro prodej kybernetické firmy Huntress Labs, která spolupracuje se třemi technologickými firmami zasaženými hackery, jsou některé podniky zasažené malwarem REvil frustrovány zavedením nástroje Kaseyou týdny po prvním útoku.

„Mluvil jsem včera s poskytovatelem služeb,“ řekl Kaiser pro CNN, „který řekl:„ Hej, poslouchej, jsme společnost od 10 do 20 osob. Strávili jsme více než 2 500 člověkohodin obnovou z toho v celém našem podnikání „Kdybychom věděli, že existuje potenciál získat tento decryptor před týdnem nebo 10 dny, udělali bychom velmi odlišná rozhodnutí. Nyní jsme na pouhých 10 nebo 20 systémech, které by z toho mohly mít prospěch.“

Většina firem na stejné pozici si zvolila, že sníží náklady na vymáhání, místo aby je předala zákazníkům, řekl Kaiser, což znamená, že při krizi mohly plýtvat prací, časem a penězi při sebezotavování.

Přestože se některé společnosti úspěšně z útoku zotavily samy, mnoho dalších se celé týdny bezvýsledně trápilo. Problém se zhoršil, když weby společnosti REvil zmizely, což znemožnilo kontaktovat skupinu za účelem výkupného nebo hledat technickou pomoc. Nevysvětlitelné zmizení skupiny vedlo k rozsáhlým spekulacím, že se mohla zapojit americká nebo ruská vláda, ačkoli ani jedna ze zemí se nepřihlásila o uznání. Američtí představitelé to odmítli komentovat a mluvčí Kremlu popřel jakékoli znalosti o této záležitosti.

USA viní Čínu z hackerství a otevírají novou frontu v kybernetické ofenzívě

Společnost pro kybernetickou bezpečnost GroupSense spolupracovala se dvěma organizacemi, malou střední školou a právnickou firmou, které zůstaly držet tašku, když už nemohly komunikovat se společností REvil.

„Byli jsme v aktivním jednání se společností REvil, když šli do režimu offline,“ řekl CNN na začátku tohoto týdne ředitel zpravodajství GroupSense Bryce Webster-Jacobsen. „Okamžitě jsme dostali to, co jsme dostali od obětí, se kterými jsme pracovali,:‚ Počkej, vydrž, co tím myslíš, že tito muži jsou offline? Co to pro nás znamená? ‘“

Ostatní oběti již zaplatili výkupné společnosti REvil. Jedna taková organizace se těžko ovládala klíčem, který od skupiny získala, uvedla společnost Critical Insight, firma zabývající se kybernetickou bezpečností, kterou si oběť najala, aby jí pomohla. Podle Mika Hamiltona, spoluzakladatele společnosti Critical Insights, však oběť podle REvila náhle zmizela. Oběť, která odmítla být jmenována a neměla spolehlivé zálohy, se bála, že se bude muset vrátit svým zákazníkům a žádat o nové kopie všech dat, která potřebovala k dokončení svých projektů.

Oznámení Kaseya tento týden bude pravděpodobně znamenat případné obnovení dat těchto obětí. Ale to nemění zdroje, které museli utratit, a rozhodná rozhodnutí, která museli učinit, během dlouhého časového úseku mezi okamžikem, kdy došlo k útoku, a když Kaseya oznámila dešifrování, o kterém oběti nevěděly, že existuje možnost .

„Další tři, čtyři, pět dní by mohl být rozdíl mezi obchodem, který nadále funguje, a tím, že řekli:„ Nemůžeme se pohnout kupředu, “řekl Kaiser.

Hlavolam pro správu Bidena

Tento druh hádanky se promítl do uvažování Bidenovy administrativy, když úředníci donucovacích orgánů a zpravodajských služeb zkoumali přepínání skupin ransomwaru do režimu offline, uvedli lidé obeznámení s diskusemi. Zejména Rada národní bezpečnosti zkoumala, jak zabránit nepřímému ublížení obětem, které by v případě rozbití nebo zmizení zločineckých skupin nemohly být schopny získat zpět své údaje.

Administrativa se stále více snaží narušit sítě ransomwaru, sledovat platby výkupného a budovat mezinárodní koalici proti počítačové kriminalitě. Úředníci však vytrvale odmítli říci, zda americká vláda hrála roli ve zmizení REvila. Tato skupina, která je také obviněna z nedávného útoku na ransomware na dodavatele masa JBS Foods, se brzy odpojila poté, co vysoký úředník státní správy slíbil, že americké orgány budou proti skupinám ransomware „jednat v následujících dnech a týdnech“.

Základní hygiena kybernetické bezpečnosti je nejlepším způsobem, jak se společnosti naočkovat proti ransomwaru, uvedl mluvčí NSC pro CNN. Podle obhájce však administrativa zvažuje, jak na ně může strategie rozvoje ransomwaru působit, uvedl mluvčí.

Jaké je to opravdu chtít vyjednávat s útočníky ransomwaru

Jak více organizací využije nabídku Kaseyy dešifrovače, je možné, že více vyjde najevo, jak společnost nástrojem získala, řekl Kaiser.

Do té doby nechali odborníci na kybernetickou bezpečnost hádat, co se mohlo stát. Několik odborníků se shodlo na tom, že teorie z velké části spadají do několika hlavních skupin.

Je technicky možné, ale nepravděpodobné, že se Kaseyi nebo jednomu z jejích partnerů podařilo zpětně analyzovat nástroj z ransomwaru, uvedl Drew Schmitt, hlavní analytik hrozeb v GuidePoint Security. Skupiny jako REvil mají tendenci nezanechávat zranitelná místa ve svém kódu, která by mohla být zneužita, dodal.

Pravděpodobnější teorií je, že Kaseya dostal pomoc od donucovacích orgánů. Pokud bylo zmizení společnosti REvil ve skutečnosti výsledkem operace vedené vládou, mohly úřady zabavit dešifrování, které by mohly použít na pomoc Kaseyi, uvedlo několik odborníků na kybernetickou bezpečnost.

Je také možné, že samotný REvil mohl předat dešifrování, ať už dobrovolně nebo pod tlakem amerických nebo ruských úřadů, uvedl Kyle Hanslovan, generální ředitel společnosti Huntress Labs.

Nejpravděpodobnější scénář je ale také nejjednodušší, řekl Schmitt: Výkupné zaplatil Kaseya nebo někdo, kdo jedná jeho jménem.

To vyvolává další otázky, na které Kaseya neodpověděla: Zaplatila společnost výkupné? Pokud ano, kdy? Pokud společnost komunikovala se společností REvil poté, co zmizela, jak komunikovala?

„Existuje mnoho scénářů, k nimž mohlo dojít, ale nemáme tolik informací, které bychom řekli tak či onak,“ řekl Schmitt, který dodal, že informace o reakci Kaseyy na útok, by mohly sloužit jako případová studie pro budoucí situace kupředu. “

Leave a Reply

Your email address will not be published.

Copyright © All rights reserved. | Newsphere by AF themes.