Af Jonathan Greig | 24. september 2021 | Emne: Sikkerhed
Washington Post rapporterede i denne uge, at FBI havde dekrypteringsnøglerne til ofre for det udbredte Kaseya -ransomware -angreb, der fandt sted i juli, men alligevel ikke delte dem i tre uger.
Hundredvis af organisationer blev påvirket af Kaseya -angrebet, herunder snesevis af hospitaler, skoler, virksomheder og endda en supermarkedskæde i Sverige.
Washington Post-journalister Ellen Nakashima og Rachel Lerman skrev i denne uge, at det lykkedes FBI at få dekrypteringsnøglerne, fordi de fik adgang til serverne hos REvil, den russisk-baserede kriminelle bande, der stod bag det massive angreb.
Kaseya -angreb
Kaseya ransomware -forsyningskædeangreb: Det, du har brug for at vide, 1.500 berørte virksomheder, bekræfter Kaseya, at USA indleder undersøgelse, da banden kræver gigantiske betalinger på $ 70 mio. enkelte ofre, inden de gik i mørke og lukkede væsentlige dele af dets infrastruktur kort efter angrebet. Gruppen er siden vendt tilbage, men mange organisationer er stadig ved at komme sig efter det omfattende angreb den 4. juli.
På trods af det store antal ofre for angrebet delte FBI ikke dekrypteringsnøglerne og besluttede at holde på dem, da de forberedte sig på at starte et angreb på REvils infrastruktur. Ifølge The Washington Post ønskede FBI ikke at tipse REvil -operatører ved at udlevere dekrypteringsnøglerne.
FBI hævdede også, at “skaden ikke var så alvorlig som først frygtet” ifølge The Washington Post .
FBI -angrebet på REvil skete aldrig på grund af REvils forsvinden, sagde embedsmænd til avisen. FBI delte til sidst dekrypteringsnøglerne med Kaseya den 21. juli, uger efter angrebet fandt sted. Flere ofre talte til The Washington Post om de millioner, der gik tabt, og den betydelige skade, som angrebene forårsagede.
En anden retshåndhævende kilde delede til sidst dekrypteringsnøglerne med Bitdefender, som frigav en universel dekrypterer tidligere på måneden for alle ofre, der var inficeret før den 13. juli 2021. Mere end 265 REvil -ofre har brugt dekrypteren, en Bitdefender -repræsentant fortalte The Washington Post.
Under sit vidnesbyrd foran kongressen tirsdag lagde FBI -direktør Christopher Wray skylden for forsinkelsen på andre retshåndhævende myndigheder og allierede, som de sagde bad dem om ikke at udbrede nøglerne. Han sagde, at han var begrænset i, hvad han kunne dele om situationen, fordi de stadig undersøger, hvad der skete.
“Vi træffer beslutningerne som en gruppe, ikke ensidigt. Det er komplekse … beslutninger, der er designet til at skabe størst mulig indflydelse, og det tager tid at gå imod modstandere, hvor vi skal marche ressourcer ikke bare rundt om i landet, men over hele verden . Der er meget teknik, der kræves for at udvikle et værktøj, “sagde Wray til kongressen.
Åbenbaringen skabte betydelig debat blandt sikkerhedseksperter, hvoraf mange forsvarede FBIs beslutning om at lade ofre kæmpe med at komme sig efter angrebet i flere uger.
Kritisk indsigt CISO Mike Hamilton – der behandlede en særlig tornad situation, hvor et Kaseya -offer blev efterladt i stikken efter at have betalt en løsesum lige før REvil forsvandt – sagde at være omhyggelig med at afsløre metoder er et hæfteklammer i retshåndhævelses- og efterretningssamfundene.
“Der er dog en” fortælle “om, at vi har bekræftet os selv. FBI citeres for at sige, at skaden ikke var så slem, som de troede, og det gav lidt tid at arbejde med. Dette skyldes, at begivenheden ikke var en typisk stealth-infiltration, efterfulgt af drejning gennem netværket for at finde de vigtigste ressourcer og sikkerhedskopier. Fra alle indikationer var de eneste servere, der blev krypteret af ransomware, dem med Kaseya-agenten installeret; dette var et smash-and-grab-angreb, “Sagde Hamilton.
“Hvis du havde den installeret på en enkelt server, der blev brugt til at vise cafeteria -menuen, kunne du genopbygge hurtigt og glemme, at det hele skete. Det faktum, at verden ikke rigtig var i brand, skabte igen tid til at grave længere ind i organisationen sandsynligvis med det endelige formål at identificere individuelle kriminelle. De organisationer, der VAR hårdt ramt, havde agenten indsat på lokale domænecontrollere, Exchange-servere, kundens faktureringssystemer osv. “
Sean Nikkel, seniortrussel Intel -analytiker hos Digital Shadows, sagde, at FBI måske har set behovet for at forhindre eller nedlægge REvils operationer som større end behovet for at redde en mindre gruppe virksomheder, der kæmper i kun et angreb.
På grund af REvils stigende omfang af angreb og afpresningskrav forudgik en hurtigt udviklende situation, der krævede en lige så hurtig reaktion, sandsynligvis et mere målrettet svar på Kaseya-ofrene, forklarede Nikkel og tilføjede, at det er let at bedømme beslutningen nu, hvor vi har flere oplysninger men at det må have været et hårdt opkald dengang.
“At stille og roligt henvende sig direkte til ofre kan have været et forsigtigt skridt, men angribere, der ser ofre dekryptere filer eller droppe ud af forhandlinger i massevis, kan have afsløret FBI's trick for modforanstaltninger,” sagde Nikkel til ZDNet.
“Angribere kan så have taget infrastruktur ned eller på anden måde ændret taktik. Der er også problemet med den anonyme lydbid om dekryptering, der gør sin vej ind i offentlige medier, hvilket også kan tippe angriberne. Kriminelle grupper er lige så opmærksomme på sikkerhedsnyheder som forskere gør, ofte med deres egen tilstedeværelse på sociale medier. ”
Nikkel foreslog, at en bedre tilgang kan have været at åbne tilbagekanalskommunikation med involverede hændelsesresponsfirmaer for bedre at koordinere ressourcer og reaktion, men han bemærkede, at FBI muligvis allerede har gjort dette.
BreachQuest CTO Jake Williams kaldte situationen et klassisk tilfælde af en vurdering af intelligensgevinst/tab.
Ligesom Nikkel sagde han, at det er let for folk at spille “mandag morgen quarterback” og bebrejde FBI for ikke at slippe nøglerne efter faktum.
Men Williams bemærkede, at den direkte økonomiske skade næsten helt sikkert var mere udbredt, end FBI mente, da den tilbageholdt nøglen til at beskytte dens drift.
“På den anden side løser frigivelse af nøglen et øjeblikkeligt behov uden at tage fat på det større spørgsmål om at forstyrre fremtidige ransomware -operationer. I det store og hele tror jeg, at FBI tog den forkerte beslutning om at tilbageholde nøglen,” sagde Williams.
“Jeg har dog også bekvemmeligheden ved at sige dette nu, efter at situationen udspillede sig. I betragtning af en lignende situation igen, tror jeg, at FBI vil frigive nøglerne, medmindre en afbrydelsesoperation er forestående (timer til dage væk). Fordi organisationer ikke er ikke krævet at rapportere ransomware -angreb, manglede FBI den fulde kontekst, der kræves for at træffe den bedste beslutning i denne sag. Jeg forventer, at dette vil blive brugt som et casestudie for at begrunde rapporteringskrav. “
John Bambenek, hovedtrusseljæger i Netenrich, sagde, at kritikere skal huske, at FBI først og fremmest er et retshåndhævende agentur, der altid vil handle på en måde, der optimerer retshåndhævelsesresultater.
“Selvom det kan være frustrerende for virksomheder, der kunne have været hjulpet før, tager retshåndhævelse tid, og nogle gange fungerer tingene ikke som planlagt,” sagde Bambenek.
“Den langsigtede fordel ved vellykkede retshåndhævende operationer er vigtigere end individuelle ransomwareofre.”
Sikkerhed
T-Mobile hack: Alt hvad du behøver at vide Surfshark VPN-anmeldelse: Det er billigt, men er det godt? De bedste browsere til beskyttelse af personlige oplysninger Cybersikkerhed 101: Beskyt dit privatliv Den bedste antivirussoftware og apps De bedste VPN'er til erhverv og hjemmebrug De bedste sikkerhedsnøgler til 2FA Ransomware -truslen vokser: Hvad skal der ske for at stoppe angreb, der bliver værre? (ZDNet YouTube)
Relaterede emner:
Government – US Security TV Data Management CXO Data Centers 