I veckan rapporterade Washington Post att FBI hade dekrypteringsnycklarna för offren för den utbredda Kaseya -ransomware -attacken som ägde rum i juli men inte delade dem på tre veckor.
Hundratals organisationer drabbades av Kaseya -attacken, däribland dussintals sjukhus, skolor, företag och till och med en stormarknadskedja i Sverige.
Washington Post-reportrarna Ellen Nakashima och Rachel Lerman skrev den här veckan att FBI lyckades få dekrypteringsnycklarna eftersom de kom åt servrarna för REvil, det ryska kriminella gänget som låg bakom den massiva attacken.
Kaseya -attack
Kaseya ransomware attack supply chain attack: Vad du behöver veta 1500 berörda företag, Kaseya bekräftar att USA inleder utredning när gänget kräver jätte $ 70 miljoner betalning Kaseya uppmanar kunder att omedelbart stänga av VSA -server
REvil krävde en lösen på 70 miljoner dollar från Kaseya och tusentals från enskilda offer innan de blir mörka och stänger av betydande delar av dess infrastruktur kort efter attacken. Gruppen har sedan återvänt, men många organisationer återhämtar sig fortfarande från den omfattande attacken den 4 juli.
Trots det stora antalet offer för attacken delade FBI inte dekrypteringsnycklarna och bestämde sig för att hålla fast vid dem när de förberedde sig för att starta en attack mot REvils infrastruktur. Enligt The Washington Post ville FBI inte tipsa REvil -operatörer genom att dela ut dekrypteringsnycklarna.
FBI hävdade också att “skadan inte var så allvarlig som man ursprungligen befarade” enligt The Washington Post .
FBI -attacken mot REvil hände aldrig på grund av REvils försvinnande, säger tjänstemän till tidningen. FBI delade så småningom dekrypteringsnycklarna med Kaseya den 21 juli, veckor efter att attacken inträffade. Flera offer talade med The Washington Post om de miljoner som gick förlorade och den betydande skada som attackerna orsakade.
En annan brottsbekämpande källa delade så småningom dekrypteringsnycklarna med Bitdefender, som släppte en universell dekrypterare tidigare i månaden för alla offer som smittats före den 13 juli 2021. Mer än 265 REvil -offer har använt dekrypteraren, en Bitdefender -representant. berättade för Washington Post.
Under sitt vittnesmål inför kongressen på tisdagen lade FBI -chefen Christopher Wray skulden för förseningen på andra brottsbekämpande myndigheter och allierade som de sa bad dem att inte sprida nycklarna. Han sa att han var begränsad i vad han kunde dela om situationen eftersom de fortfarande undersöker vad som hände.
“Vi fattar besluten som en grupp, inte ensidigt. Det här är komplexa … beslut, utformade för att skapa maximal effekt, och det tar tid att gå mot motståndare där vi måste samla resurser inte bara runt om i landet utan över hela världen . Det krävs mycket teknik för att utveckla ett verktyg, säger Wray till kongressen.
Uppenbarelsen orsakade stor debatt bland säkerhetsexperter, varav många försvarade FBI: s beslut att lämna offren kämpar för att återhämta sig från attacken i veckor.
Critical Insight CISO Mike Hamilton – som hanterade en särskilt taggig situation där ett Kaseya -offer lämnades i sticket efter att ha betalat en lösensumma innan REvil försvann – sa att vara försiktig med att avslöja metoder är en stapelvara för brottsbekämpande och underrättelsegemenskaper.
“Det finns dock en” berätta “att vi har bekräftat oss själva. FBI citeras för att säga att skadan inte var så allvarlig som de trodde och som gav lite tid att arbeta med. Detta beror på att händelsen inte var en typisk smyginfiltration, följt av att svänga genom nätverket för att hitta de viktigaste resurserna och säkerhetskopiorna. Av alla indikationer var de enda servrarna som krypterades av ransomware de med Kaseya-agenten installerad; detta var en smash-and-grab-attack, “Sa Hamilton.
“Om du hade den distribuerad på en enda server som användes för att visa cafeterian -menyn, kunde du snabbt bygga om och glömma att det hela hände. Det faktum att världen inte riktigt brann, skapade igen tid att gräva vidare i organisationen , sannolikt för det ultimata syftet att identifiera enskilda brottslingar. De organisationer som VAR hårt drabbade hade agenten utplacerad på lokala domänkontrollanter, Exchange-servrar, kundfaktureringssystem, etc. “
Sean Nikkel, seniorhot Intel -analytiker på Digital Shadows, sade att FBI kan ha sett behovet av att förhindra eller stänga REvils verksamhet som större än behovet av att rädda en mindre grupp företag som kämpar i bara en attack.
På grund av REvils ökande omfattning av attacker och utpressningskrav föregick en snabbt utvecklande situation som kräver ett lika snabbt svar sannolikt ett mer uppmätt svar på Kaseya-offren, förklarade Nikkel och tillade att det är lätt att bedöma beslutet nu när vi har mer information men att det måste ha varit ett tufft samtal då.
“Att tyst nå ut direkt till offren kan ha varit ett försiktigt steg, men angripare som ser offren dekryptera filer eller hoppa av förhandlingar i massor kan ha avslöjat FBI: s knep för motåtgärder”, sa Nikkel till ZDNet.
“Angripare kan då ha tagit ner infrastruktur eller på annat sätt ändrat taktik. Det finns också problemet med den anonyma ljudbiten om dekryptering som tar sig in i offentliga medier, vilket också kan tipsa angripare. Kriminella grupper uppmärksammar säkerhetsnyheter så mycket som forskare gör, ofta med sin egen närvaro på sociala medier. ”
Nikkel föreslog att ett bättre tillvägagångssätt kan ha varit att öppna bakkanalskommunikation med berörda incidentföretag för att bättre samordna resurser och svar, men han noterade att FBI redan har gjort detta.
BreachQuest CTO Jake Williams kallade situationen ett klassiskt fall av en intelligensvinst/förlustbedömning.
Liksom Nikkel sa han att det är lätt för människor att spela “måndag morgon quarterback” och skylla på FBI för att inte släppa nycklarna efter det faktum.
Men Williams noterade att den direkta ekonomiska skadan nästan säkert var mer utbredd än FBI trodde då den innehöll nyckeln för att skydda dess verksamhet.
“Å andra sidan löser det att släppa nyckeln ett omedelbart behov utan att ta itu med den större frågan om att störa framtida ransomware -operationer. Sammantaget tror jag att FBI fattade fel beslut när den innehöll nyckeln”, sade Williams.
“Men jag har också bekvämligheten att säga detta nu, efter att situationen spelat sig själv. Med tanke på en liknande situation igen tror jag att FBI kommer att släppa nycklarna om inte en störningsoperation är nära (timmar till dagar bort). Eftersom organisationer inte är inte krävs för att rapportera ransomware -attacker, FBI saknade hela sammanhanget som krävs för att fatta det bästa beslutet i det här fallet. Jag förväntar mig att detta kommer att användas som en fallstudie för att motivera rapporteringskrav. “
John Bambenek, huvudhotsjägare på Netenrich, sa att kritiker måste komma ihåg att FBI först och främst är en brottsbekämpande myndighet som alltid kommer att agera på ett sätt som optimerar brottsbekämpningens resultat.
“Även om det kan vara frustrerande för företag som kunde ha hjälpts tidigare, tar brottsbekämpning tid och ibland fungerar det inte som planerat”, sa Bambenek.
“Den långsiktiga fördelen med framgångsrika brottsbekämpning är viktigare än enskilda offer för ransomware.”
Säkerhet
T-Mobile-hack: Allt du behöver veta Surfshark VPN-granskning: Det är billigt, men är det bra? De bästa webbläsarna för integritet Cybersäkerhet 101: Skydda din integritet De bästa antivirusprogrammen och apparna De bästa VPN -tjänsterna för företag och hemanvändning De bästa säkerhetsnycklarna för 2FA Ransomware -hotet växer: Vad måste hända för att stoppa attacker att bli värre? (ZDNet YouTube)
Relaterade ämnen:
Regeringen – USA: s säkerhets -TV -datahantering CXO -datacenter 