Deze week meldde de Washington Post dat de FBI de decoderingssleutels had voor de slachtoffers van de wijdverbreide Kaseya ransomware-aanval die in juli plaatsvond, maar deze drie weken niet had gedeeld.
Honderden organisaties werden getroffen door de Kaseya-aanval, waaronder tientallen ziekenhuizen, scholen, bedrijven en zelfs een supermarktketen in Zweden.
Washington Post-verslaggevers Ellen Nakashima en Rachel Lerman schreven deze week dat de FBI erin slaagde de decoderingssleutels te bemachtigen omdat ze toegang hadden tot de servers van REvil, de in Rusland gevestigde criminele bende die achter de massale aanval zat.
p>
Kaseya-aanval
Kaseya ransomware supply chain-aanval: Wat u moet weten 1.500 getroffen bedrijven, Kaseya bevestigt dat de VS een onderzoek start nu bende een gigantische betaling van $ 70 miljoen eist Kaseya dringt er bij klanten op aan de VSA-server onmiddellijk af te sluiten
REvil eiste een losgeld van $ 70 miljoen van Kaseya en duizenden van individuele slachtoffers voordat het donker wordt en belangrijke delen van de infrastructuur kort na de aanval worden afgesloten. Inmiddels is de groep teruggekeerd, maar veel organisaties zijn nog aan het herstellen van de grootschalige aanval van 4 juli.
Ondanks het grote aantal slachtoffers van de aanval, deelde de FBI de decoderingssleutels niet en besloot ze deze vast te houden terwijl ze zich voorbereidden op het lanceren van een aanval op de infrastructuur van REvil. Volgens The Washington Post wilde de FBI REvil-operators geen tip geven door de decoderingssleutels uit te delen.
De FBI beweerde ook dat “de schade niet zo ernstig was als aanvankelijk werd gevreesd”, aldus The Washington Post .
De FBI-aanval op REvil heeft nooit plaatsgevonden vanwege de verdwijning van REvil, zeiden functionarissen tegen de krant. De FBI deelde uiteindelijk de decoderingssleutels met Kaseya op 21 juli, weken na de aanval. Meerdere slachtoffers spraken met The Washington Post over de miljoenen die verloren zijn gegaan en de aanzienlijke schade die door de aanslagen is aangericht.
Een andere wetshandhavingsbron deelde uiteindelijk de decoderingssleutels met Bitdefender, die eerder deze maand een universele decryptor uitbracht voor alle slachtoffers die vóór 13 juli 2021 waren geïnfecteerd. Meer dan 265 REvil-slachtoffers hebben de decryptor gebruikt, een vertegenwoordiger van Bitdefender vertelde The Washington Post.
Tijdens zijn getuigenis voor het Congres op dinsdag legde FBI-directeur Christopher Wray de schuld voor de vertraging bij andere wetshandhavingsinstanties en bondgenoten, die volgens hen hen hadden gevraagd de sleutels niet te verspreiden. Hij zei dat hij beperkt was in wat hij over de situatie kon vertellen, omdat ze nog onderzoeken wat er is gebeurd.
“We nemen de beslissingen als een groep, niet eenzijdig. Dit zijn complexe … beslissingen, ontworpen om maximale impact te creëren, en dat kost tijd om tegen tegenstanders in te gaan waar we middelen moeten bundelen, niet alleen in het hele land, maar over de hele wereld Er is veel techniek nodig om een tool te ontwikkelen”, vertelde Wray aan het Congres.
De onthulling veroorzaakte veel discussie onder beveiligingsexperts, van wie velen het besluit van de FBI verdedigden om slachtoffers wekenlang te laten worstelen om te herstellen van de aanval.
Critical Insight CISO Mike Hamilton – die te maken had met een bijzonder netelige situatie waarin een slachtoffer van Kaseya in de steek werd gelaten nadat hij een losgeld had betaald vlak voordat REvil verdween – zei dat voorzichtig zijn met het onthullen van methoden een hoofdbestanddeel is van de wetshandhavings- en inlichtingengemeenschappen.
“Er is echter een 'tell', die we onszelf hebben bevestigd. De FBI zegt dat de schade niet zo erg was als ze dachten en dat gaf wat tijd om mee te werken. Dit komt omdat de gebeurtenis niet een typische stealth-infiltratie, gevolgd door draaien door het netwerk om de belangrijkste bronnen en back-ups te vinden. Uit alle indicaties blijkt dat de enige servers die werden versleuteld door de ransomware degenen waren waarop de Kaseya-agent was geïnstalleerd; dit was een smash-and-grab-aanval, ' zei Hamilton.
“Als je het had geïmplementeerd op één enkele server om het menu van de cafetaria weer te geven, zou je snel kunnen herbouwen en vergeten dat het allemaal is gebeurd. Het feit dat de wereld niet echt in brand stond, creëerde opnieuw tijd om verder in de organisatie te graven , waarschijnlijk met het uiteindelijke doel om individuele criminelen te identificeren. Die organisaties die hard werden getroffen, hadden de agent ingezet op on-premises domeincontrollers, Exchange-servers, factureringssystemen voor klanten, enz.”
Sean Nikkel, senior bedreiging Intel-analist bij Digital Shadows, zei dat de FBI de noodzaak om de activiteiten van REvil te voorkomen of stop te zetten misschien zwaarder vond dan de noodzaak om een kleinere groep bedrijven te redden die worstelde met slechts één aanval.
Vanwege de toenemende schaal van aanvallen en afpersingseisen van REvil, verhinderde een zich snel ontwikkelende situatie die een even snelle reactie vereist waarschijnlijk een meer afgemeten reactie op de Kaseya-slachtoffers, legde Nikkel uit, eraan toevoegend dat het gemakkelijk is om de beslissing te beoordelen nu we meer informatie hebben maar dat het op dat moment een moeilijke beslissing moet zijn geweest.
“Stilzwijgend rechtstreeks contact opnemen met slachtoffers kan een verstandige stap zijn geweest, maar aanvallers die zien dat slachtoffers bestanden ontsleutelen of massaal afhaken bij onderhandelingen, hebben mogelijk de truc van de FBI voor tegenmaatregelen onthuld”, vertelde Nikkel aan ZDNet.
“Aanvallers hebben toen mogelijk infrastructuur neergehaald of anderszins van tactiek veranderd. Er is ook het probleem van de anonieme soundbite over decodering die zijn weg vindt naar de publieke media, die ook aanvallers zou kunnen tippen. Criminele groepen letten net zoveel op veiligheidsnieuws als onderzoekers, vaak met hun eigen aanwezigheid op sociale media.”
Nikkel suggereerde dat het misschien beter was geweest om backchannel-communicatie te openen met betrokken incidentresponsbureaus om de middelen en respons beter te coördineren, maar hij merkte op dat de FBI dit mogelijk al heeft gedaan.
BreachQuest CTO Jake Williams noemde de situatie een klassiek geval van een intelligence gain/loss assessment.
Net als Nikkel zei hij dat het gemakkelijk is voor mensen om “monday morning quarterback” te spelen en de FBI de schuld te geven voor het niet vrijgeven van de sleutels.
Maar Williams merkte wel op dat de directe financiële schade vrijwel zeker groter was dan de FBI geloofde, omdat het de sleutel achterhield om zijn operatie te beschermen.
“Aan de andere kant lost het vrijgeven van de sleutel een onmiddellijke behoefte op zonder het grotere probleem van het verstoren van toekomstige ransomware-operaties aan te pakken. Per saldo denk ik dat de FBI de verkeerde beslissing heeft genomen door de sleutel achter te houden”, zei Williams.
“Ik heb echter ook het gemak om dit nu te zeggen, nadat de situatie zich heeft afgespeeld. Gezien een soortgelijke situatie opnieuw, denk ik dat de FBI de sleutels zal vrijgeven tenzij er een verstoringsoperatie op handen is (uren tot dagen verwijderd). Omdat organisaties Omdat de FBI niet verplicht was ransomware-aanvallen te melden, miste de FBI de volledige context die nodig is om in dit geval de beste beslissing te nemen. Ik verwacht dat dit zal worden gebruikt als een casestudy om de rapportagevereisten te rechtvaardigen.”
John Bambenek, belangrijkste bedreigingsjager bij Netenrich, zeiden critici dat ze in de eerste plaats moeten onthouden dat de FBI een wetshandhavingsinstantie is die altijd zal handelen op een manier die de resultaten van de wetshandhaving optimaliseert.
“Hoewel het frustrerend kan zijn voor bedrijven die eerder geholpen hadden kunnen worden, kost wetshandhaving tijd en soms werken dingen niet zoals gepland,” zei Bambenek.
“Het langetermijnvoordeel van succesvolle wetshandhavingsoperaties is belangrijker dan individuele ransomware-slachtoffers.”
Beveiliging
T-Mobile hack: alles wat je moet weten Surfshark VPN review: Het is goedkoop, maar is het ook goed? De beste browsers voor privacy Cyberbeveiliging 101: bescherm uw privacy De beste antivirussoftware en apps De beste VPN's voor zakelijk en thuisgebruik De beste beveiligingssleutels voor 2FA De ransomware-dreiging groeit: wat moet er gebeuren om te voorkomen dat aanvallen erger worden? (ZDNet YouTube)
Aanverwante onderwerpen:
Overheid – VS Security TV Data Management CXO Datacenters 