Denne uken rapporterte Washington Post at FBI hadde dekrypteringsnøklene for ofre for det utbredte Kaseya -ransomware -angrepet som fant sted i juli, men ikke delte dem på tre uker.
Hundrevis av organisasjoner ble påvirket av Kaseya -angrepet, inkludert dusinvis av sykehus, skoler, bedrifter og til og med en supermarkedskjede i Sverige.
Washington Post-reportere Ellen Nakashima og Rachel Lerman skrev denne uken at FBI klarte å skaffe dekrypteringsnøklene fordi de åpnet serverne til REvil, den russiske kriminelle gjengen som sto bak det massive angrepet.
Kaseya -angrep
Kaseya ransomware -forsyningskjedeangrep: Det du trenger å vite 1500 berørte selskaper, bekrefter Kaseya at USA starter etterforskning da gjengen krever gigantiske betalinger på $ 70 millioner. Kaseya oppfordrer kundene til umiddelbart å stenge VSA -serveren
REvil krevde 70 millioner dollar løsepenger fra Kaseya og tusenvis fra individuelle ofre før de gikk mørkt og stengte betydelige deler av infrastrukturen kort tid etter angrepet. Gruppen har siden kommet tilbake, men mange organisasjoner gjenoppretter fortsatt fra det omfattende angrepet 4. juli.
Til tross for det store antallet ofre for angrepet, delte FBI ikke dekrypteringsnøklene, og bestemte seg for å holde på dem da de forberedte seg på å starte et angrep på REvils infrastruktur. I følge The Washington Post ønsket ikke FBI å tipse REvil -operatører ved å dele ut dekrypteringsnøklene.
FBI hevdet også at “skaden ikke var så alvorlig som opprinnelig fryktet” ifølge The Washington Post .
FBI -angrepet på REvil skjedde aldri på grunn av REvils forsvinning, sier tjenestemenn til avisen. FBI delte til slutt dekrypteringsnøklene med Kaseya 21. juli, uker etter at angrepet skjedde. Flere ofre snakket med The Washington Post om millionene som gikk tapt og den betydelige skaden som ble forårsaket av angrepene.
En annen rettshåndhevelseskilde delte til slutt dekrypteringsnøklene med Bitdefender, som ga ut en universell dekrypterer tidligere denne måneden for alle ofrene som ble smittet før 13. juli 2021. Mer enn 265 REvil -ofre har brukt dekrypteren, en Bitdefender -representant fortalte The Washington Post.
Under sitt vitnesbyrd foran kongressen tirsdag, la FBI -direktør Christopher Wray skylden for forsinkelsen på andre rettshåndhevelsesbyråer og allierte som de sa ba dem om ikke å spre nøklene. Han sa at han var begrenset i hva han kunne dele om situasjonen fordi de fortsatt undersøker hva som skjedde.
“Vi tar avgjørelsene som en gruppe, ikke ensidig. Dette er komplekse … beslutninger, designet for å skape maksimal innvirkning, og det tar tid å gå mot motstandere der vi må samle ressurser ikke bare rundt om i landet, men over hele verden. . Det er mye prosjektering som kreves for å utvikle et verktøy, sier Wray til kongressen.
Avsløringen forårsaket betydelig debatt blant sikkerhetsexperter, hvorav mange forsvarte FBIs beslutning om å la ofre slite med å komme seg etter angrepet i flere uker.
Critical Insight CISO Mike Hamilton – som taklet en spesielt tornete situasjon der et Kaseya -offer ble stående i stikken etter å ha betalt løsepenger rett før REvil forsvant – sa at det å være forsiktig med å avsløre metoder er en stift i politiet og etterretningssamfunn.
“Det er imidlertid en” fortell “at vi har bekreftet oss selv. FBI siteres for å si at skaden ikke var så ille som de trodde, og det ga litt tid å jobbe med. Dette er fordi hendelsen ikke var en typisk stealth-infiltrasjon, etterfulgt av svingning gjennom nettverket for å finne de viktigste ressursene og sikkerhetskopiene. Fra alle indikasjoner var de eneste serverne som ble kryptert av ransomware de med Kaseya-agenten installert; dette var et smash-and-grab-angrep, “Sa Hamilton.
“Hvis du hadde den distribuert på en enkelt server som ble brukt til å vise kafeteria -menyen, kunne du gjenoppbygge raskt og glemme at det hele skjedde. Det faktum at verden egentlig ikke brant, skapte tid til å grave videre i organisasjonen , sannsynligvis med det endelige formålet å identifisere individuelle kriminelle. De organisasjonene som VAR hardt rammet hadde agenten distribuert på lokale domenekontrollere, Exchange-servere, kundefaktureringssystemer, etc. “
Sean Nikkel, senior trussel Intel -analytiker ved Digital Shadows, sa at FBI kan ha sett behovet for å forhindre eller stenge REvils virksomhet som større enn behovet for å redde en mindre gruppe selskaper som sliter i bare ett angrep.
På grunn av REvils økende omfang av angrep og utpressingskrav, forutsatte en raskt utviklende situasjon som krever en like rask respons sannsynligvis et mer målrettet svar på Kaseya-ofrene, forklarte Nikkel og la til at det er lett å bedømme avgjørelsen nå som vi har mer informasjon men at det må ha vært en tøff samtale den gangen.
“Å stille direkte ut til ofre kan ha vært et forsiktig skritt, men angripere som ser ofre dekryptere filer eller droppe ut av forhandlinger i massevis, kan ha avslørt FBIs trick for mottiltak,” sa Nikkel til ZDNet.
“Da kan angriperne ha tatt ned infrastruktur eller på annen måte endret taktikk. Det er også problemet med den anonyme lydbiten om dekryptering som kommer inn i offentlige medier, noe som også kan tippe angripere. Kriminelle grupper tar så mye hensyn til sikkerhetsnyheter som forskere gjør, ofte med sin egen tilstedeværelse på sosiale medier. ”
Nikkel antydet at en bedre tilnærming kan ha vært å åpne tilbakekanalkommunikasjon med hendelsesresponsfirmaer som er involvert for bedre å koordinere ressurser og respons, men han bemerket at FBI allerede kan ha gjort dette.
BreachQuest CTO Jake Williams kalte situasjonen et klassisk tilfelle av en vurdering av intelligensgevinst/tap.
Som Nikkel sa han at det er lett for folk å spille “mandag morgen quarterback” og klandre FBI for ikke å ha sluppet nøklene etter det faktum.
Men Williams la merke til at den direkte økonomiske skaden nesten helt sikkert var mer utbredt enn FBI trodde da den holdt tilbake nøkkelen for å beskytte operasjonen.
“På den annen side løser det å slippe nøkkelen et øyeblikkelig behov uten å ta opp det større problemet med å forstyrre fremtidige ransomware -operasjoner. På en balanse tror jeg at FBI tok en feil beslutning om å holde nøkkelen tilbake,” sa Williams.
“Imidlertid har jeg også bekvemmeligheten til å si dette nå, etter at situasjonen spilte seg ut. Gitt en lignende situasjon igjen, tror jeg FBI vil slippe nøklene med mindre en avbruddsoperasjon er nært forestående (timer til dager unna). Fordi organisasjoner ikke er ikke nødvendig for å rapportere ransomware -angrep, FBI manglet hele konteksten som kreves for å ta den beste avgjørelsen i denne saken. Jeg forventer at dette vil bli brukt som en casestudie for å rettferdiggjøre rapporteringskrav. “
John Bambenek, viktigste trusseljegeren på Netenrich, sa at kritikere må huske at FBI først og fremst er et rettshåndhevelsesbyrå som alltid vil opptre på en måte som optimaliserer politiets resultater.
“Selv om det kan være frustrerende for bedrifter som kunne ha blitt hjulpet tidligere, tar lovhåndhevelse tid, og noen ganger fungerer ting ikke som planlagt,” sa Bambenek.
“Den langsiktige fordelen med vellykkede rettshåndhevelsesoperasjoner er viktigere enn individuelle ransomwareofre.”
Sikkerhet
T-Mobile-hack: Alt du trenger å vite Surfshark VPN-anmeldelse: Det er billig, men er det bra? De beste nettleserne for personvern Cybersikkerhet 101: Beskytt personvernet ditt Den beste antivirusprogramvaren og appene De beste VPN -ene for bedrifter og hjemmebruk De beste sikkerhetsnøklene for 2FA Truselen mot ransomware vokser: Hva må skje for å stoppe angrepene som blir verre? (ZDNet YouTube)
Relaterte emner:
Government – US Security TV Data Management CXO Data Centers 