- Joined
- Jan 19, 2011
- Messages
- 7,663
- Contests
- 0
- Reaction score
- 126
Команда сыщиков из частных служб безопасности в своем первом публичном описании своих усилий обсуждает, как они использовали ошибки киберпреступников, чтобы незаметно помочь жертвам восстановить свои данные.
Николь Перлрот 24 октября 2021 г., 5:00 по восточному времени.
В год, изобилующий атаками программ-вымогателей, когда киберпреступники держали в заложниках данные полицейских управлений, продуктовых и аптечных сетей, больниц, трубопроводов и водоочистных сооружений с помощью компьютерного кода, это была победа, редкая по масштабам успеха. В течение нескольких месяцев команда экспертов по безопасности мчалась, чтобы помочь жертвам известной группы программ-вымогателей незаметно восстановить свои данные, не заплатив злоумышленникам ни копейки. Все началось в конце лета, после того, как киберпреступники, стоящие за атакой вымогателя Colonial Pipeline, известной как DarkSide, появились под новым названием BlackMatter. Вскоре киберпреступники совершили вопиющую ошибку, которая, скорее всего, обошлась им в десятки, если не сотни миллионов долларов. Преступники-вымогатели шифруют данные жертвы и требуют выкуп, иногда в миллионы долларов, за возвращение доступа. Но когда BlackMatter совершил критическую ошибку в обновлении своего кода, исследователи из Emsisoft, фирмы по кибербезопасности из Новой Зеландии, поняли, что они могут воспользоваться ошибкой, расшифровать файлы и вернуть доступ законным владельцам данных. Emsisoft спешно выследила десятки жертв в Соединенных Штатах, Великобритании и Европе, чтобы помочь им тайно разблокировать их данные. При этом фирма хранила миллионы долларов в криптовалюте из казны киберпреступников. Согласно отчету исследовательской компании Cybersecurity Ventures, это была недолгая победа в игре «кошки-мышки» с программами-вымогателями, которая, как ожидается, обойдется организациям в 20 миллиардов долларов убытков в этом году. Это было настолько необычно, что даже жертвы, данные которых были спасены, не могли поверить в это. Многие думали, что Emsisoft занимается мошенничеством. Представители Emsisoft описали свою операцию, о которой ранее не сообщалось, в серии интервью The New York Times. «Сначала было много шока и недоверия», - сказал на прошлой неделе Фабиан Восар, технический директор Emsisoft. «Представьте, что у вас есть проблема. Вы думаете, что это не исправить. Все говорят, что это не исправить. Ваша паранойя в разгаре. И кто-то появляется у вашей входной двери и говорит: «Эй, кстати, я могу вам помочь».
Чтобы развеять опасения жертв, исследователи Emsisoft попросили своих знакомых в компаниях по кибербезопасности и государственных учреждениях по всему миру поручиться за них. Emsisoft не опознала жертв, но сообщила, что среди них были ключевые производители, транспортные компании и поставщики продуктов питания в континентальной Европе, Великобритании и США. График усилий Emsisoft совпадает с атаками программ-вымогателей BlackMatter в прошлом месяце на две американские сельскохозяйственные организации: NEW Cooperative, зерновой кооператив Айовы, и Crystal Valley, сельскохозяйственный кооператив Миннесоты. Оба кооператива быстро восстановились, что наводит на мысль, что Emsisoft могла помочь. Ни одна из компаний не ответила на запросы о комментариях. Эрик Голдштейн, исполнительный помощник директора по кибербезопасности в Федеральном агентстве по кибербезопасности и безопасности инфраструктуры, назвал эти усилия моделью для государственного и частного сотрудничества. Агентство пытается разработать комплексный план «для всей страны» по устранению киберугроз, особенно для «критической инфраструктуры», большая часть которой принадлежит частному сектору. CISA недавно создала Joint Cyber Defense Collaborative, которая объединяет государственные учреждения с техническими фирмами, такими как Microsoft и Amazon, телекоммуникационными компаниями, такими как AT&T и Verizon, и фирмами по кибербезопасности, такими как CrowdStrike и Palo Alto Networks, для борьбы с такими угрозами, как программы-вымогатели. Операция Emsisoft - одна из немногих недавних побед, пусть и очень поверхностных, над программами-вымогателями. В июне Министерство юстиции объявило, что оно вернуло 2,3 миллиона долларов из 4,4 миллиона долларов в криптовалюте, которые Colonial Pipeline заплатила BlackMatter.
Совсем недавно операция, проведенная несколькими правительствами, отключила REvil, крупную российскую организацию по вымогательству. Ранее агентство Reuters сообщило о межправительственных усилиях. Эти усилия последовали за несколькими меньшими победами над REvil прошлым летом. Группа, ответственная за тысячи атак с использованием программ-вымогателей, оказалась в поле зрения правительства после того, как провела громкую атаку на JBS, одного из крупнейших мировых операторов упаковки мяса, и Kaseya, компанию-разработчика программного обеспечения из Майами. Группа использовала высокоуровневый доступ Касеи к своим клиентам, чтобы удержать сотни из них в заложниках во время прошедших праздников Четвертого июля. Неделю спустя сайты REvil закрылись, что привело к предположениям о том, что правительства могли сыграть свою роль. Через неделю после этого Касея объявила, что таинственная «третья сторона» дала ей ключ для разблокировки зашифрованных данных своих клиентов. Фактически, ФБР. позже подтвердил, что получил ключ, но задержал передачу его клиентам Касеи, пока согласовывал с другими агентствами ликвидацию группы. Но прежде чем он смог действовать, REvil отключился сам по себе. REvil снова появился в сентябре, а на прошлой неделе снова исчез. Но недавняя история предполагает, что операторы REvil могут просто возродиться под новым именем.
Пока группы программ-вымогателей пользуются иммунитетом в России и других странах, программы-вымогатели продолжают преследовать американские компании и организации. Последней жертвой, по всей видимости, стала полиция в Хагерстауне, штат Мэриленд. В пятницу те же киберпреступники, которые захватили, а затем слили конфиденциальные данные из полицейского управления Вашингтона, округ Колумбия, в апреле, заявили, что взломали веб-сайт полиции Хагерстауна и украли учетные данные для входа. В пятницу поздно вечером полиция Хагерстауна сообщила, что не верит в кражу данных сотрудников, но внимательно следит за ситуацией, сменила пароли и предприняла другие меры по смягчению последствий. Американские чиновники, занимающиеся кибербезопасностью, признают, что, за исключением нескольких коротких побед, никаких существенных изменений в российских кибератаках не произошло со времени первого саммита президента Байдена с президентом России Владимиром *************************ым в июне. Г-н Байден предупредил г-на *************************а, что атаки на 16 критически важных секторов инфраструктуры Америки, такие как поставщики продовольствия, нанесенные в прошлом месяце, могут потребовать возмездия.
Но в прошлом месяце, когда BlackMatter поразил NEW Cooperative, киберпреступники высмеяли идею о том, что зерновой коллектив считается критически важной инфраструктурой, саркастически заявив, что «каждый понесет убытки» в чатах, которые отслеживает компания Recorded Future, занимающаяся кибербезопасностью. По словам компании, шум вокруг атаки NEW Cooperative создал дополнительные проблемы для Emsisoft. Emsisoft находила жертв BlackMatter через сообщения на принадлежащей Google платформе VirusTotal, которая является своего рода поисковой системой для вредоносных программ. Эти сообщения помогли связать команды Emsisoft с чат-платформой, которую BlackMatter использовала для переговоров о выплатах выкупа со своими жертвами. Emsisoft отслеживала чаты, чтобы узнать, не упоминали ли киберпреступники или жертвы название своей организации, а затем использовала эту информацию для связи с жертвами. Но после того, как атака NEW Cooperative попала в заголовки газет, неожиданные посетители начали оставлять оскорбления в чатах, где BlackMatter вел переговоры о платежах. Когда BlackMatter пригрозил утечкой данных NEW Cooperative в Интернете за нарушение его «правил восстановления данных», кто-то ответил неприятным оскорблением в адрес матери преступника BlackMatter. Представитель NEW Cooperative ясно дал понять в чате, что комментарий пришел не от них, а от «случайных людей из Интернета». Обмен побудил BlackMatter закрыть доступ к своим онлайн-чатам и начать проверку всех, кто вошел. При этом Emsisoft потеряла ключевой способ добраться до жертв. Emsisoft знала, что не сможет опубликовать свою секретную способность, не сообщив BlackMatter. Но компании все же удалось связаться с несколькими жертвами BlackMatter, данные которых были размещены в Интернете. (Чтобы усилить давление, группы программ-вымогателей теперь размещают информацию о жертве в Интернете, когда она отказывается платить.) Emsisoft также тесно сотрудничала с CISA и другими агентствами, чтобы охватить как можно больше жертв. «Причина, по которой операторы программ-вымогателей избежали такого большого количества преступлений, заключается в том, что до недавнего времени было слишком мало сотрудничества и общения, - сказал Бретт Кэллоу, аналитик угроз компании Emsisoft. «Это показывает, что сотрудничество частного и государственного секторов может существенно снизить их прибыль». Emsisoft знала, что время на исходе. Неизбежно BlackMatter задался вопросом, почему так много жертв перестали платить выкуп или почему многие даже не удосужились ответить. Наконец, в прошлом месяце BlackMatter обнаружил ошибку. Это снова стало чертежной доской для исследователей Emsisoft и других компаний. «Мы больше не можем реально помогать жертвам, но у нас было довольно долгое время», - сказал г-н Восар.
Source: nytimes.com/2021/10/24/technology/ransomware-emsisoft-blackmatter.html
Николь Перлрот 24 октября 2021 г., 5:00 по восточному времени.
В год, изобилующий атаками программ-вымогателей, когда киберпреступники держали в заложниках данные полицейских управлений, продуктовых и аптечных сетей, больниц, трубопроводов и водоочистных сооружений с помощью компьютерного кода, это была победа, редкая по масштабам успеха. В течение нескольких месяцев команда экспертов по безопасности мчалась, чтобы помочь жертвам известной группы программ-вымогателей незаметно восстановить свои данные, не заплатив злоумышленникам ни копейки. Все началось в конце лета, после того, как киберпреступники, стоящие за атакой вымогателя Colonial Pipeline, известной как DarkSide, появились под новым названием BlackMatter. Вскоре киберпреступники совершили вопиющую ошибку, которая, скорее всего, обошлась им в десятки, если не сотни миллионов долларов. Преступники-вымогатели шифруют данные жертвы и требуют выкуп, иногда в миллионы долларов, за возвращение доступа. Но когда BlackMatter совершил критическую ошибку в обновлении своего кода, исследователи из Emsisoft, фирмы по кибербезопасности из Новой Зеландии, поняли, что они могут воспользоваться ошибкой, расшифровать файлы и вернуть доступ законным владельцам данных. Emsisoft спешно выследила десятки жертв в Соединенных Штатах, Великобритании и Европе, чтобы помочь им тайно разблокировать их данные. При этом фирма хранила миллионы долларов в криптовалюте из казны киберпреступников. Согласно отчету исследовательской компании Cybersecurity Ventures, это была недолгая победа в игре «кошки-мышки» с программами-вымогателями, которая, как ожидается, обойдется организациям в 20 миллиардов долларов убытков в этом году. Это было настолько необычно, что даже жертвы, данные которых были спасены, не могли поверить в это. Многие думали, что Emsisoft занимается мошенничеством. Представители Emsisoft описали свою операцию, о которой ранее не сообщалось, в серии интервью The New York Times. «Сначала было много шока и недоверия», - сказал на прошлой неделе Фабиан Восар, технический директор Emsisoft. «Представьте, что у вас есть проблема. Вы думаете, что это не исправить. Все говорят, что это не исправить. Ваша паранойя в разгаре. И кто-то появляется у вашей входной двери и говорит: «Эй, кстати, я могу вам помочь».
Чтобы развеять опасения жертв, исследователи Emsisoft попросили своих знакомых в компаниях по кибербезопасности и государственных учреждениях по всему миру поручиться за них. Emsisoft не опознала жертв, но сообщила, что среди них были ключевые производители, транспортные компании и поставщики продуктов питания в континентальной Европе, Великобритании и США. График усилий Emsisoft совпадает с атаками программ-вымогателей BlackMatter в прошлом месяце на две американские сельскохозяйственные организации: NEW Cooperative, зерновой кооператив Айовы, и Crystal Valley, сельскохозяйственный кооператив Миннесоты. Оба кооператива быстро восстановились, что наводит на мысль, что Emsisoft могла помочь. Ни одна из компаний не ответила на запросы о комментариях. Эрик Голдштейн, исполнительный помощник директора по кибербезопасности в Федеральном агентстве по кибербезопасности и безопасности инфраструктуры, назвал эти усилия моделью для государственного и частного сотрудничества. Агентство пытается разработать комплексный план «для всей страны» по устранению киберугроз, особенно для «критической инфраструктуры», большая часть которой принадлежит частному сектору. CISA недавно создала Joint Cyber Defense Collaborative, которая объединяет государственные учреждения с техническими фирмами, такими как Microsoft и Amazon, телекоммуникационными компаниями, такими как AT&T и Verizon, и фирмами по кибербезопасности, такими как CrowdStrike и Palo Alto Networks, для борьбы с такими угрозами, как программы-вымогатели. Операция Emsisoft - одна из немногих недавних побед, пусть и очень поверхностных, над программами-вымогателями. В июне Министерство юстиции объявило, что оно вернуло 2,3 миллиона долларов из 4,4 миллиона долларов в криптовалюте, которые Colonial Pipeline заплатила BlackMatter.
Совсем недавно операция, проведенная несколькими правительствами, отключила REvil, крупную российскую организацию по вымогательству. Ранее агентство Reuters сообщило о межправительственных усилиях. Эти усилия последовали за несколькими меньшими победами над REvil прошлым летом. Группа, ответственная за тысячи атак с использованием программ-вымогателей, оказалась в поле зрения правительства после того, как провела громкую атаку на JBS, одного из крупнейших мировых операторов упаковки мяса, и Kaseya, компанию-разработчика программного обеспечения из Майами. Группа использовала высокоуровневый доступ Касеи к своим клиентам, чтобы удержать сотни из них в заложниках во время прошедших праздников Четвертого июля. Неделю спустя сайты REvil закрылись, что привело к предположениям о том, что правительства могли сыграть свою роль. Через неделю после этого Касея объявила, что таинственная «третья сторона» дала ей ключ для разблокировки зашифрованных данных своих клиентов. Фактически, ФБР. позже подтвердил, что получил ключ, но задержал передачу его клиентам Касеи, пока согласовывал с другими агентствами ликвидацию группы. Но прежде чем он смог действовать, REvil отключился сам по себе. REvil снова появился в сентябре, а на прошлой неделе снова исчез. Но недавняя история предполагает, что операторы REvil могут просто возродиться под новым именем.
Пока группы программ-вымогателей пользуются иммунитетом в России и других странах, программы-вымогатели продолжают преследовать американские компании и организации. Последней жертвой, по всей видимости, стала полиция в Хагерстауне, штат Мэриленд. В пятницу те же киберпреступники, которые захватили, а затем слили конфиденциальные данные из полицейского управления Вашингтона, округ Колумбия, в апреле, заявили, что взломали веб-сайт полиции Хагерстауна и украли учетные данные для входа. В пятницу поздно вечером полиция Хагерстауна сообщила, что не верит в кражу данных сотрудников, но внимательно следит за ситуацией, сменила пароли и предприняла другие меры по смягчению последствий. Американские чиновники, занимающиеся кибербезопасностью, признают, что, за исключением нескольких коротких побед, никаких существенных изменений в российских кибератаках не произошло со времени первого саммита президента Байдена с президентом России Владимиром *************************ым в июне. Г-н Байден предупредил г-на *************************а, что атаки на 16 критически важных секторов инфраструктуры Америки, такие как поставщики продовольствия, нанесенные в прошлом месяце, могут потребовать возмездия.
Но в прошлом месяце, когда BlackMatter поразил NEW Cooperative, киберпреступники высмеяли идею о том, что зерновой коллектив считается критически важной инфраструктурой, саркастически заявив, что «каждый понесет убытки» в чатах, которые отслеживает компания Recorded Future, занимающаяся кибербезопасностью. По словам компании, шум вокруг атаки NEW Cooperative создал дополнительные проблемы для Emsisoft. Emsisoft находила жертв BlackMatter через сообщения на принадлежащей Google платформе VirusTotal, которая является своего рода поисковой системой для вредоносных программ. Эти сообщения помогли связать команды Emsisoft с чат-платформой, которую BlackMatter использовала для переговоров о выплатах выкупа со своими жертвами. Emsisoft отслеживала чаты, чтобы узнать, не упоминали ли киберпреступники или жертвы название своей организации, а затем использовала эту информацию для связи с жертвами. Но после того, как атака NEW Cooperative попала в заголовки газет, неожиданные посетители начали оставлять оскорбления в чатах, где BlackMatter вел переговоры о платежах. Когда BlackMatter пригрозил утечкой данных NEW Cooperative в Интернете за нарушение его «правил восстановления данных», кто-то ответил неприятным оскорблением в адрес матери преступника BlackMatter. Представитель NEW Cooperative ясно дал понять в чате, что комментарий пришел не от них, а от «случайных людей из Интернета». Обмен побудил BlackMatter закрыть доступ к своим онлайн-чатам и начать проверку всех, кто вошел. При этом Emsisoft потеряла ключевой способ добраться до жертв. Emsisoft знала, что не сможет опубликовать свою секретную способность, не сообщив BlackMatter. Но компании все же удалось связаться с несколькими жертвами BlackMatter, данные которых были размещены в Интернете. (Чтобы усилить давление, группы программ-вымогателей теперь размещают информацию о жертве в Интернете, когда она отказывается платить.) Emsisoft также тесно сотрудничала с CISA и другими агентствами, чтобы охватить как можно больше жертв. «Причина, по которой операторы программ-вымогателей избежали такого большого количества преступлений, заключается в том, что до недавнего времени было слишком мало сотрудничества и общения, - сказал Бретт Кэллоу, аналитик угроз компании Emsisoft. «Это показывает, что сотрудничество частного и государственного секторов может существенно снизить их прибыль». Emsisoft знала, что время на исходе. Неизбежно BlackMatter задался вопросом, почему так много жертв перестали платить выкуп или почему многие даже не удосужились ответить. Наконец, в прошлом месяце BlackMatter обнаружил ошибку. Это снова стало чертежной доской для исследователей Emsisoft и других компаний. «Мы больше не можем реально помогать жертвам, но у нас было довольно долгое время», - сказал г-н Восар.
Source: nytimes.com/2021/10/24/technology/ransomware-emsisoft-blackmatter.html