Questa settimana, il Washington Post ha riferito che l'FBI aveva le chiavi di decrittazione per le vittime del diffuso attacco ransomware Kaseya avvenuto a luglio, ma non le ha condivise per tre settimane.
Centinaia di organizzazioni sono state colpite dall'attacco di Kaseya, tra cui dozzine di ospedali, scuole, aziende e persino una catena di supermercati in Svezia.
I reporter del Washington Post Ellen Nakashima e Rachel Lerman hanno scritto questa settimana che l'FBI è riuscita a ottenere le chiavi di decrittazione perché hanno avuto accesso ai server di REvil, la banda criminale con sede in Russia che era dietro il massiccio attacco.
p>
Attacco di Kaseya
Attacco alla catena di approvvigionamento ransomware Kaseya: cosa devi sapere 1.500 aziende colpite, Kaseya conferma che gli Stati Uniti avviano un'indagine mentre la banda richiede un gigantesco pagamento di 70 milioni di dollari Kaseya esorta i clienti a spegnere immediatamente il server VSA
REvil ha chiesto un riscatto di 70 milioni di dollari a Kaseya e migliaia da singole vittime prima di spegnersi e chiudere parti significative della sua infrastruttura poco dopo l'attacco. Da allora il gruppo è tornato, ma molte organizzazioni si stanno ancora riprendendo dall'attacco ad ampio raggio del 4 luglio.
Nonostante il gran numero di vittime dell'attacco, l'FBI non ha condiviso le chiavi di decrittazione, decidendo di conservarle mentre si preparavano a lanciare un attacco all'infrastruttura di REvil. Secondo il Washington Post, l'FBI non voleva informare gli operatori di REvil distribuendo le chiavi di decrittazione.
L'FBI ha anche affermato che “il danno non era così grave come inizialmente temuto” secondo il Washington Post .
L'attacco dell'FBI a REvil non è mai avvenuto a causa della scomparsa di REvil, hanno detto i funzionari al giornale. L'FBI alla fine ha condiviso le chiavi di decrittazione con Kaseya il 21 luglio, settimane dopo l'attacco. Molte vittime hanno parlato con il Washington Post dei milioni persi e dei danni significativi causati dagli attacchi.
Un'altra fonte delle forze dell'ordine alla fine ha condiviso le chiavi di decrittazione con Bitdefender, che ha rilasciato un decryptor universale all'inizio di questo mese per tutte le vittime infette prima del 13 luglio 2021. Più di 265 vittime REvil hanno utilizzato il decryptor, un rappresentante di Bitdefender ha detto al Washington Post.
Martedì, durante la sua testimonianza davanti al Congresso, il direttore dell'FBI Christopher Wray ha accusato il ritardo di altre forze dell'ordine e alleati che hanno chiesto loro di non diffondere le chiavi. Ha detto che era limitato in ciò che poteva condividere sulla situazione perché stanno ancora indagando su ciò che è successo.
“Prendiamo le decisioni come gruppo, non unilateralmente. Queste sono decisioni complesse… progettate per creare il massimo impatto, e che richiedono tempo per andare contro avversari dove dobbiamo schierare risorse non solo in tutto il paese ma in tutto il mondo C'è molta ingegneria necessaria per sviluppare uno strumento”, ha detto Wray al Congresso.
La rivelazione ha causato un notevole dibattito tra gli esperti di sicurezza, molti dei quali hanno difeso la decisione dell'FBI di lasciare le vittime che lottavano per riprendersi dall'attacco per settimane.
Critical Insight Il CISO Mike Hamilton, che ha affrontato una situazione particolarmente spinosa in cui una vittima di Kaseya è stata lasciata nei guai dopo aver pagato un riscatto poco prima della scomparsa di REvil, ha affermato che fare attenzione ai metodi di divulgazione è un punto fermo delle forze dell'ordine e delle comunità di intelligence.
“C'è un 'racconto', però, che abbiamo confermato noi stessi. Si dice che l'FBI abbia detto che il danno non è stato così grave come pensavano e che ha fornito un po' di tempo per lavorarci. Questo perché l'evento non è stato una tipica infiltrazione furtiva, seguita da un perno attraverso la rete per trovare le risorse chiave e i backup. Da tutte le indicazioni, gli unici server crittografati dal ransomware erano quelli con l'agente Kaseya installato; questo è stato un attacco di tipo smash-and-grab, “Ha detto Hamilton.
“Se lo avessi distribuito su un singolo server utilizzato per visualizzare il menu della caffetteria, potresti ricostruirlo rapidamente e dimenticare l'intera faccenda. Il fatto che il mondo non fosse davvero in fiamme, di nuovo, ha creato il tempo per scavare ulteriormente nell'organizzazione , probabilmente allo scopo ultimo di identificare i singoli criminali. Quelle organizzazioni che sono state duramente colpite hanno installato l'agente su controller di dominio locali, server Exchange, sistemi di fatturazione dei clienti, ecc.”
Sean Nikkel, senior threat analista Intel presso Digital Shadows, ha affermato che l'FBI potrebbe aver visto la necessità di prevenire o chiudere le operazioni di REvil come maggiore della necessità di salvare un gruppo più piccolo di aziende che lottano in un solo attacco.
A causa della crescente scala di attacchi ed estorsioni di REvil, una situazione in rapido sviluppo che richiede una risposta altrettanto rapida probabilmente ha preceduto una risposta più misurata alle vittime di Kaseya, ha spiegato Nikkel, aggiungendo che è facile giudicare la decisione ora che abbiamo più informazioni ma che deve essere stata una dura chiamata in quel momento.
“Contattare silenziosamente direttamente le vittime potrebbe essere stato un passo prudente, ma gli aggressori che vedono le vittime decifrare i file o abbandonare le trattative in massa potrebbero aver rivelato lo stratagemma dell'FBI per le contromisure”, ha detto Nikkel a ZDNet.
“Gli aggressori potrebbero quindi aver smontato l'infrastruttura o cambiato in altro modo tattica. C'è anche il problema del suono anonimo sulla decrittazione che si fa strada nei media pubblici, che potrebbe anche dare la caccia agli aggressori. I gruppi criminali prestano attenzione alle notizie sulla sicurezza tanto quanto i ricercatori, spesso con la propria presenza sui social media.”
Nikkel ha suggerito che un approccio migliore potrebbe essere stato quello di aprire comunicazioni backchannel con le società di risposta agli incidenti coinvolte per coordinare meglio le risorse e la risposta, ma ha notato che l'FBI potrebbe averlo già fatto.
Il CTO di BreachQuest Jake Williams ha definito la situazione un classico caso di valutazione di guadagni/perdite di intelligence.
Come Nikkel, ha detto che è facile per le persone giocare al “trequartista del lunedì mattina” e incolpare l'FBI per non aver rilasciato le chiavi dopo il fatto.
Ma Williams ha notato che il danno finanziario diretto era quasi certamente più diffuso di quanto l'FBI credesse, poiché ha trattenuto la chiave per proteggere la sua operazione.
“D'altra parte, il rilascio della chiave risolve un'esigenza immediata senza affrontare il problema più ampio di interrompere le future operazioni di ransomware. A conti fatti, penso che l'FBI abbia preso la decisione sbagliata nel trattenere la chiave”, ha detto Williams.
“Tuttavia, ho anche la comodità di dirlo ora, dopo che la situazione si è risolta. Data di nuovo una situazione simile, credo che l'FBI rilascerà le chiavi a meno che non sia imminente un'operazione di interruzione (ore o giorni di distanza). Perché le organizzazioni sono “Non è necessario segnalare gli attacchi ransomware, l'FBI non disponeva del contesto completo necessario per prendere la decisione migliore in questo caso. Prevedo che questo verrà utilizzato come caso di studio per giustificare i requisiti di segnalazione.”
John Bambenek, principale cacciatore di minacce di Netenrich, ha affermato che i critici devono ricordare che prima di tutto, l'FBI è un'agenzia delle forze dell'ordine che agirà sempre in modo da ottimizzare i risultati delle forze dell'ordine.
“Anche se può essere frustrante per le aziende che avrebbero potuto essere aiutate prima, le forze dell'ordine richiedono tempo e talvolta le cose non funzionano come previsto”, ha affermato Bambenek.
“Il vantaggio a lungo termine di operazioni riuscite delle forze dell'ordine è più importante delle singole vittime di ransomware.”
Sicurezza
T-Mobile hack: tutto ciò che devi sapere Recensione di Surfshark VPN: È economico, ma è buono? I migliori browser per la privacy Sicurezza informatica 101: proteggi la tua privacy I migliori software e app antivirus Le migliori VPN per uso aziendale e domestico Le migliori chiavi di sicurezza per 2FA La minaccia ransomware è in crescita: cosa deve succedere per impedire che gli attacchi peggiorino? (ZDNet YouTube)
Argomenti correlati:
Governo – Data Center CXO di gestione dei dati della TV di sicurezza degli Stati Uniti 