211service.com
Hackeři ransomwaru Colonial pipeline měli tajnou zbraň: sebepropagující firmy zabývající se kybernetickou bezpečností
Pět měsíců předtím, než DarkSide zaútočil na koloniální ropovod, objevili dva výzkumníci způsob, jak zachránit jeho oběti ransomwaru. Poté oznámení antivirové společnosti upozornilo hackery.
Drew Angerer/Getty Images
24. května 202111. ledna antivirová společnost Bitdefender uvedla, že s radostí oznámila překvapivý průlom. Našla chybu ve výkupném, který gang známý jako DarkSide používal k zmrazení počítačových sítí desítek podniků v USA a Evropě. Společnosti, které čelí požadavkům DarkSide, by si mohly stáhnout bezplatný nástroj z Bitdefenderu a vyhnout se placení milionů dolarů jako výkupné hackerům.
Ale Bitdefender nebyl první, kdo tuto chybu identifikoval. Dva další výzkumníci, Fabian Wosar a Michael Gillespie , si toho všiml před měsícem a začal nenápadně hledat oběti, které by pomohly. Zveřejněním svého nástroje Bitdefender upozornil DarkSide na výpadek, který zahrnoval opětovné použití stejných digitálních klíčů k uzamčení a odemknutí více obětí. Další den DarkSide prohlásil, že problém vyřešil a že nové společnosti nemají v co doufat.
Zvláštní poděkování BitDefenderu za pomoc při řešení našich problémů, řekl DarkSide. Díky tomu budeme ještě lepší.
DarkSide brzy dokázal, že to nebylo blafování, a rozpoutal řadu útoků. Tento měsíc to ochromilo Colonial Pipeline Co., což vyvolalo a vypnout potrubí dlouhého 5 500 mil, které přepravuje 45 % paliva používaného na východním pobřeží – rychle následované zvýšením cen benzínu, panickým nákupem plynu na jihovýchodě a uzavřením tisíců čerpacích stanic. Bez oznámení Bitdefenderu je možné, že krize mohla být potlačena a že Colonial mohl v tichosti obnovit svůj systém pomocí dešifrovacího nástroje Wosar a Gillespie.
Místo toho Colonial zaplatil DarkSide 4,4 milionu dolarů v bitcoinech za klíč k odemčení svých souborů. Přiznám se, že se mi nelíbilo, když jsem viděl, jak peníze odcházejí k takovým lidem, řekl generální ředitel Joseph Blount Wall Street Journal.
Promarněná příležitost byla součástí širšího vzorce zpackaných nebo polovičatých reakcí na rostoucí hrozbu ransomwaru, který během pandemie zneškodnil podniky, školy, nemocnice a vládní agentury po celé zemi. Incident také ukazuje, jak antivirové společnosti toužící po tom, aby se prosadily, někdy porušují jedno z hlavních pravidel kybernetické hry kočky a myši: Nedejte svým protivníkům vědět, na co jste přišli. Když se během druhé světové války britská tajná služba z dešifrované komunikace dozvěděla, že gestapo plánuje unést a zavraždit cenného dvojitého agenta Johnnyho Jebsena, jeho psovod ho nesměl varovat ze strachu, že nachytá nepřítele, že jeho šifra byl prasklý. Dnes se lovci ransomwaru jako Wosar a Gillespie snaží prodloužit nevědomost útočníků, a to i za cenu kontaktování menšího počtu obětí. Dříve nebo později, když platby klesají, si kyberzločinci uvědomí, že se něco pokazilo.
Zda nabídnout dešifrovací nástroj, je vypočítavé rozhodnutí, řekl Rob McLeod, vrchní ředitel jednotky reakce na hrozby pro kyberbezpečnostní firmu eSentire. Z marketingového hlediska zpíváte tu píseň ze střech o tom, jak jste přišli na bezpečnostní řešení, které dešifruje data oběti. A pak úhel bezpečnostního výzkumníka říká: ‚Neprozrazujte zde žádné informace. Chyby ransomwaru, které jsme našli a které nám umožňují dekódovat data, udržujte v tajnosti, abychom neoznámili aktérům hrozby.

V příspěvku na temném webu DarkSide poděkoval Bitdefenderu za identifikaci chyby v ransomwaru gangu. (Zvýraznění přidala ProPublica.)
Wosar řekl, že veřejné zveřejňování nástrojů, jako to udělal Bitdefender, se stalo riskantnějším, protože výkupné prudce vzrostlo a gangy bohatly a byly technicky zdatnější. V počátcích ransomwaru, kdy hackeři zmrazovali domácí počítače za pár stovek dolarů, často nedokázali určit, jak byl jejich kód prolomen, pokud jim na chybu nebyl výslovně upozorněn.
Dnes mají tvůrci ransomwaru přístup k reverzním inženýrům a penetračním testerům, kteří jsou velmi schopní, řekl. Tímto způsobem získávají vstup do těchto často vysoce zabezpečených sítí. Stáhli si dešifrovací nástroj, rozebrali ho, provedli reverzní inženýrství a přesně zjistili, proč jsme byli schopni dešifrovat jejich soubory. A o 24 hodin později je celá věc opravena. Bitdefender to měl vědět lépe.
Související příběh
Mohla by krize ransomwaru vynutit akci proti Rusku? Zaslepenost Moskvy vůči kyberzločincům učinila eskalaci útoků nevyhnutelnou, říkají odborníci. Ale změna přístupu se snadněji řekne, než udělá.
Nebylo to poprvé, co Bitdefender zatroubil na řešení, které Wosar nebo Gillespie předběhli. Gillespie prolomil kód ransomwarového kmene zvaného GoGoogle a pomáhal obětem bez jakýchkoli fanfár, když Bitdefender vydal dešifrování nástroj v květnu 2020. Další společnosti také oznámily průlomy veřejně, uvedli Wosar a Gillespie.
Lidé zoufale touží po novinách a velké bezpečnostní společnosti se o oběti nezajímají, řekl Wosar.
Bogdan Botezatu, ředitel výzkumu hrozeb v Bukurešti v Rumunsku se sídlem Bitdefender, řekl, že společnost si nebyla vědoma dřívějšího úspěchu při odemykání souborů infikovaných DarkSide.
Bez ohledu na to se Bitdefender rozhodl zveřejnit svůj nástroj, protože většina obětí, které propadnou ransomwaru, nemá správné spojení se skupinami podpory ransomwaru a nebude vědět, kde žádat o pomoc, pokud se o existenci nástrojů nedozví ze zpráv v médiích. nebo jednoduchým vyhledáváním.
Bitdefender poskytl bezplatnou technickou podporu více než tuctu obětí DarkSide a věříme, že mnoho dalších tento nástroj úspěšně použilo bez našeho zásahu, řekl Botezatu. V průběhu let Bitdefender pomohl jednotlivcům a podnikům vyhnout se platbě více než 100 milionů dolarů na výkupném, řekl.
Bitdefender rozpoznal, že DarkSide by mohl chybu napravit, Botezatu řekl: Jsme si dobře vědomi toho, že útočníci jsou agilní a přizpůsobují se našim dešifrátorům. Ale DarkSide si problém stejně mohl všimnout. Nevěříme v dešifrovače ransomwaru, které jsou tiše dostupné. Útočníci se o jejich existenci dozvědí tak, že se budou vydávat za domácí uživatele nebo firmy v nouzi, zatímco drtivá většina obětí ani netuší, že svá data mohou získat zpět zdarma.
Útok na Colonial Pipeline Zdá se, že následný chaos u čerpacích stanic na jihovýchodě podnítil federální vládu k větší ostražitosti. Prezident Joe Biden vydal výkonný příkaz ke zlepšení kybernetické bezpečnosti a vytvoření plánu federální reakce na kybernetické útoky. DarkSide uvedl, že se zavírá pod tlakem USA, ačkoli ransomwarové posádky se často rozpustily, aby se vyhnuly kontrole, a poté se znovu vytvořily pod novými jmény nebo jejich členové založili nebo se připojili k jiným skupinám.
Jakkoli jsou sofistikovaní, tito lidé se znovu objeví a budou o to chytřejší, řekl Aaron Tantleff, právník v oblasti kybernetické bezpečnosti v Chicagu, který konzultoval s 10 společnostmi napadenými DarkSide. Vrátí se s pomstou.
'Lidé zoufale touží po novinách a velké bezpečnostní společnosti se o oběti nezajímají.'
Fabian Wosar, tým pro lov ransomwaru
Soukromí výzkumníci a společnosti byli alespoň dosud v boji proti ransomwaru často efektivnější než vláda. Loni v říjnu Microsoft narušil infrastrukturu Trickbota, sítě více než 1 milionu infikovaných počítačů, které šíří notoricky známý kmen ransomwaru Ryuk, tím, že deaktivoval jeho servery a komunikaci. Ten měsíc ProtonMail, švýcarská e-mailová služba, uzavřela 20 000 účtů souvisejících s Ryuk.
Wosar a Gillespie, kteří patří do celosvětové dobrovolnické skupiny zvané Ransomware Hunting Team, prolomili více než 300 hlavních kmenů a variant ransomwaru, čímž zachránili odhadem 4 miliony obětí od placení miliard dolarů.
Naproti tomu FBI jen zřídka dešifruje ransomware nebo zatýká útočníky, kteří obvykle sídlí v zemích jako Rusko nebo Írán, které nemají dohody o vydávání s USA. Předpokládá se například, že DarkSide působí mimo Rusko. Mnohem více obětí hledá pomoc u Hunting Teamu prostřednictvím webových stránek spravovaných jeho členy než u FBI.
Americká tajná služba také vyšetřuje ransomware, který spadá do její působnosti v boji proti finančním zločinům. Ale zejména ve volebních letech někdy vystřídá agenty z kybernetických úkolů, aby plnili své známější poslání chránit prezidenty, viceprezidenty, kandidáty hlavních politických stran a jejich rodiny. Evropské donucovací orgány, zejména nizozemská národní policie, byly při zatýkání útočníků a zabavování serverů úspěšnější než USA.
Související příběh
Vlna ransomwaru zasáhla americké nemocnice, když koronavirus prudce vzrostl Bezprecedentní a oportunistický útok vyvolává znepokojivou otázku: Bude to stát život?Podobně americká vláda udělala jen mírný pokrok v tlačení soukromého průmyslu, včetně potrubních společností, k posílení kybernetické bezpečnosti. Dohled nad kybernetickou bezpečností je rozdělen mezi abecední polévku agentur, což brání koordinaci. Ministerstvo pro vnitřní bezpečnost provádí hodnocení zranitelnosti kritické infrastruktury, která zahrnuje potrubí.
Kolem roku 2013 přezkoumala Colonial Pipeline jako součást studie míst, kde by kybernetický útok mohl způsobit katastrofu. Podle bývalého úředníka DHS bylo potrubí považováno za odolné, což znamená, že se mohlo rychle zotavit. Na dotazy k případným následným kontrolám ministerstvo nereagovalo.
O pět let později DHS vytvořilo potrubí pro kybernetickou bezpečnost iniciativa identifikovat slabá místa v potrubních počítačových systémech a doporučit strategie k jejich řešení. Účast je dobrovolná a osoba obeznámená s iniciativou uvedla, že je užitečnější pro menší společnosti s omezenými interními IT znalostmi než pro velké společnosti, jako je Colonial. Další ožehavé se potýká i Národní centrum pro řízení rizik, které na iniciativu dohlíží problémy jako je zabezpečení voleb.
Ransomware od roku 2012 raketově vzrostl , kdy nástup bitcoinu ztížil sledování nebo blokování plateb. Taktika zločinců se vyvinula z nevybíravých sprejerských a modlitebních kampaní shánějících několik set dolarů za kus až po cílení na konkrétní podniky, vládní agentury a neziskové skupiny s mnohamilionovými požadavky.
Zejména útoky na energetické podniky během pandemie vzrostly – nejen v USA, ale i v Kanadě, Latinské Americe a Evropě. Jak společnosti umožnily zaměstnancům pracovat z domova, uvolnily některé bezpečnostní kontroly, řekl McLeod.
DarkSide přijal to, co je známé jako model ransomware-as-a-service. Podle tohoto modelu se spojila s přidruženými společnostmi, které zahájily útoky. Přidružené společnosti obdržely 75 % až 90 % výkupného, zbytek si ponechal DarkSide.
Od roku 2019 četné gangy zvýšily tlak pomocí techniky známé jako dvojité vydírání. Po vstupu do systému ukradnou citlivá data před spuštěním ransomwaru, který zakóduje soubory a znemožňuje nemocnicím, univerzitám a městům vykonávat jejich každodenní práci. Pokud ztráta přístupu k počítači není dostatečně zastrašující, hrozí, že prozradí důvěrné informace, přičemž často zveřejňují vzorky jako páku. Když například policejní oddělení ve Washingtonu, DC minulý měsíc nezaplatilo výkupné ve výši 4 miliony dolarů, které požadoval gang jménem Babuk, Babuk zveřejnil zpravodajské brífinky, jména podezřelých z trestných činů a svědků a personální složky, od lékařských informací po test na detektoru lži. výsledky důstojníků a uchazečů o zaměstnání.
DarkSide, který se objevil loni v srpnu, ztělesňoval toto nové plemeno. Cíle zvolila na základě pečlivé finanční analýzy nebo informací získaných z firemních e-mailů. Například zaútočil na jednoho z Tantleffových klientů během týdne, kdy hackeři věděli, že společnost bude zranitelná, protože převáděla své soubory do cloudu a neměla čisté zálohy.
K infiltraci cílových sítí gang použil pokročilé metody, jako jsou zero-day exploity, které okamžitě využívají zranitelnosti softwaru, než je lze opravit. Jakmile byl uvnitř, rychle se pohyboval a hledal nejen citlivá data, ale také kybernetické pojištění oběti, aby mohl své požadavky ukotvit na výši krytí. Po dvou až třech dnech šťouchání DarkSide zašifroval soubory.
Mají rychlejší útočné okno, řekl Christopher Ballod, zástupce generálního ředitele pro kybernetická rizika v Kroll, firmě zabývající se obchodním vyšetřováním, která radil půltuctu obětí DarkSide. Čím déle v systému setrváte, tím je pravděpodobnější, že vás chytí.
Obvykle byly požadavky DarkSide na vysoké úrovni, 5 milionů dolarů a více, řekl Ballod. Jedna děsivá taktika: pokud veřejně obchodované společnosti nezaplatí výkupné, DarkSide pohrozila, že bude sdílet informace, které jim byly ukradeny, s krátkými prodejci, kteří by profitovali, pokud by cena akcií po zveřejnění klesla.
Stránka DarkSide na temném webu identifikovala desítky obětí a popsala důvěrná data, která od nich údajně získala. Jedním z nich byla neworleanská právnická firma Stone Pigman Walther Wittmann. To, co to bylo, je velká nepříjemnost, řekl právník Phil Wittmann s odkazem na únorový útok DarkSide. Nic jsme jim nezaplatili, řekl Michael Walshe Jr., předseda řídícího výboru firmy, a odmítl to dále komentovat.
Minulý listopad, DarkSide adoptoval co je známé jako model ransomware-as-a-service. Podle tohoto modelu se spojila s přidruženými společnostmi, které zahájily útoky. Přidružené společnosti obdržel 75 % až 90 % výkupného, zbytek si ponechá DarkSide. Jak toto partnerství naznačuje, ekosystém ransomwaru je pokřiveným zrcadlem firemní kultury se vším od pracovních pohovorů po postupy pro řešení sporů. Poté, co se DarkSide vypnul, několik lidí, kteří se identifikovali jako jeho pobočky, si na fóru pro řešení sporů stěžovalo, že je přitvrdilo. Cíl zaplatil, ale svůj podíl jsem nedostal, napsal jeden.
Dohromady DarkSide a její pobočky údajně vydělaly nejméně 90 milionů dolarů. Sedm klientů společnosti Tantleff, včetně dvou společností v energetickém průmyslu, zaplatilo výkupné v rozmezí od 1,25 milionu do 6 milionů USD, což odráželo vyjednané slevy z počátečních požadavků ve výši 7,5 milionu až 30 milionů USD. Jeho další tři klienti zasažení DarkSide nezaplatili. V jednom z těchto případů hackeři požadovali 50 milionů dolarů. Vyjednávání byla prudká a obě strany se nemohly dohodnout na ceně.
Zástupci DarkSide byli chytří vyjednávači, řekl Tantleff. Pokud oběť řekla, že si kvůli pandemii nemůže dovolit výkupné, DarkSide byla připravena s údaji, které ukazují, že příjmy společnosti vzrostly nebo že dopad covid-19 byl započítán do ceny.
Uchopení geopolitiky DarkSide bylo méně pokročilé než jeho přístup k ransomwaru. Přibližně ve stejnou dobu, kdy přijala přidružený model, zveřejnila, že plánuje chránit informace odcizené obětem jejich uložením na servery v Íránu. DarkSide si zjevně neuvědomil, že íránské spojení by zkomplikovalo jeho vybírání výkupného od obětí v USA, které mají ekonomické sankce omezující finanční transakce s Íránem. Ačkoli DarkSide později toto prohlášení odvolala s tím, že zvažovala pouze Írán jako možnou lokalitu, řada kybernetických pojišťoven měla obavy z pokrytí plateb skupině. Coveware, Connecticutská firma, která vyjednává s útočníky jménem obětí, přestala jednat s DarkSide.
Ballod řekl, že vzhledem k tomu, že jejich pojistitelé nejsou ochotni vrátit výkupné, žádný z jeho klientů nezaplatil DarkSide, navzdory obavám z odhalení jejich dat. I kdyby upadli do DarkSide a dostali od hackerů na oplátku ujištění, že data budou skartována, informace by mohly uniknout, řekl.
Během přechodu DarkSide na affiliate model , byla do jeho ransomwaru zavedena chyba. Tato chyba zabezpečení upoutala pozornost členů týmu Ransomware Hunting Team. Tým pouze pro zvané byl založen v roce 2016 a skládá se z asi tuctu dobrovolníků v USA, Španělsku, Itálii, Německu, Maďarsku a Spojeném království. Pracují v kybernetické bezpečnosti nebo příbuzných oborech. Ve svém volném čase spolupracují při hledání a dešifrování nových kmenů ransomwaru.
Několik členů, včetně Wosara, má malé formální vzdělání, ale nadání pro kódování. Wosar, který opustil střední školu, vyrostl v dělnické rodině poblíž německého přístavního města Rostock. V roce 1992, ve věku osmi let, poprvé viděl počítač a byl uchvácen. V 16 letech vyvíjel svůj vlastní antivirový software a vydělával na něm peníze. Nyní je mu 37 let a pracuje pro antivirovou společnost Emsisoft od jejího založení před téměř dvěma desetiletími a je jejím hlavním technologickým ředitelem. V roce 2018 se přestěhoval do Spojeného království z Německa a žije poblíž Londýna.
Bojuje s hackery ransomwaru od roku 2012, kdy prolomil kmen nazvaný ACCDFISA, což je zkratka pro Anti Cyber Crime Department of Federal Internet Security Agency. Tato fiktivní agentura upozorňovala lidi, že dětská pornografie infikovala jejich počítače, a tak blokovala přístup k jejich souborům, pokud nezaplatili 100 dolarů za odstranění viru.
Související příběh
Google říká, že pro hackery je příliš snadné najít nové bezpečnostní chyby Útočníci znovu a znovu využívají stejné typy zranitelností softwaru, protože společnosti často pro stromy chybí les.Hacker ACCDFISA si nakonec všiml, že kmen byl dešifrován a vydal revidovanou verzi. Mnoho dalších Wosarových triumfů bylo také prchavých. On a jeho spoluhráči se snažili udržet zločince v blaženém vědomí, jak dlouho to bylo možné, že jejich kmen je zranitelný. Zanechávali na fórech tajemné zprávy, které vyzývaly oběti, aby je kontaktovaly s žádostí o pomoc, nebo posílali přímé zprávy lidem, kteří zveřejnili, že byli napadeni.
V průběhu ochrany před počítačovými průniky analytici antivirových firem někdy odhalili chyby ransomwaru a vytvořili dešifrovací nástroje, ačkoli to nebylo jejich hlavním zaměřením. Občas se srazili s Wosarem.
V roce 2014 Wosar zjistil, že kmen ransomwaru nazvaný CryptoDefense zkopíroval a vložil z Microsoft Windows část kódu, který používal k zamykání a odemykání souborů, aniž by si uvědomil, že stejný kód byl zachován ve složce na vlastním počítači oběti. Chyběl signál nebo příznak v jejich programu, obvykle obsaženém tvůrci ransomwaru, aby nařídil systému Windows neukládat kopii klíče.
Wosar rychle vyvinul dešifrovací nástroj pro získání klíče. Čelili jsme zajímavému rébusu, Sarah White, další členka Hunting Teamu, napsala na Emsisoft’s Blog . Jak dostat náš nástroj k co největšímu počtu obětí, aniž bychom upozornili vývojáře malwaru na jeho chybu?
Wosar diskrétně vyhledával oběti CryptoDefense prostřednictvím podpůrných fór, dobrovolnických sítí a oznámení, kde se obrátit o pomoc. Vyhýbal se popisu toho, jak nástroj fungoval, nebo hrubé chyby, kterou využil. Když se oběti přihlásily, dodal opravu a vyčistil ransomware z nejméně 350 počítačů. CryptoDefense nás nakonec chytil… ale stále neměl přístup k dešifrovacímu nástroji, který jsme použili, a neměl tušení, jak odemykáme soubory jeho obětí, napsal White.
„Čelili jsme zajímavému rébusu... Jak dostat náš nástroj k co největšímu počtu obětí, aniž bychom upozornili vývojáře malwaru na jeho chybu?
Sarah White, tým pro lov ransomwaru
Ale pak antivirová společnost Symantec odhalila stejný problém a pochlubila se objevem na blogu, který obsahoval dostatek informací, aby pomohl vývojáři CryptoDefense najít a opravit chybu, napsal White. Během 24 hodin útočníci začali šířit revidovanou verzi. Změnili její název na CryptoWall a vyrobeno 325 milionů dolarů.
Společnost Symantec zvolila rychlou publicitu před pomocí obětem CryptoDefense obnovit jejich soubory, napsal White. Někdy jsou věci, které je lepší nevyřknout.
Mluvčí společnosti Broadcom, která získala podnikové zabezpečení společnosti Symantec v roce 2019, se odmítla vyjádřit s tím, že členové týmu, kteří na tomto nástroji pracovali, již ve společnosti nejsou.
Stejně jako 29letý Wosar Gillespie pochází z chudoby a nikdy nechodil na vysokou školu. Když vyrůstal v centru Illinois, jeho rodina měla takové finanční problémy, že se někdy musela přestěhovat k přátelům nebo příbuzným. Po střední škole pracoval na plný úvazek 10 let v řetězci oprav počítačů s názvem Nerds on Call. Minulý rok se stal výzkumníkem malwaru a kybernetické bezpečnosti ve společnosti Coveware.
Loni v prosinci poslal Wosarovi zprávu o pomoc. Gillespie pracoval s obětí DarkSide, která zaplatila výkupné a obdržela nástroj na obnovu dat. Ale dešifrovač DarkSide měl pověst pomalého a oběť doufala, že Gillespie může proces urychlit.
Gillespie analyzoval software, který obsahoval klíč k uvolnění souborů. Chtěl vytáhnout klíč, ale protože byl uložen neobvykle složitým způsobem, nemohl. Obrátil se k Wosarovi, který to dokázal izolovat.
Spoluhráči poté začali testovat klíč na dalších souborech infikovaných DarkSide. Gillespie kontroloval soubory nahrané oběťmi na webovou stránku, kterou provozuje, ID Ransomware, zatímco Wosar používal VirusTotal, online databázi podezřelého malwaru.
Té noci sdíleli objev.
Mám potvrzení, že DarkSide znovu používá své klíče RSA, napsal Gillespie Hunting Teamu na jeho kanál Slack. Typ kryptografie RSA generuje dva klíče: veřejný klíč pro kódování dat a soukromý klíč pro jejich dešifrování. RSA se legitimně používá k ochraně mnoha aspektů elektronického obchodování, jako je ochrana kreditních čísel. Ale byl také kooptován ransomwarovými hackery.
Všiml jsem si toho samého, když jsem byl schopen dešifrovat nově zašifrované soubory pomocí jejich dešifrovače, odpověděl Wosar o necelou hodinu později, ve 2:45 londýnského času.
Jejich analýza ukázala, že před přijetím affiliate modelu DarkSide používal pro každou oběť jiný veřejný a soukromý klíč. Wosar měl podezření, že během tohoto přechodu DarkSide zavedl chybu do svého přidruženého portálu používaného ke generování ransomwaru pro každý cíl. Wosar a Gillespie nyní mohli použít klíč, který Wosar extrahoval, k načtení souborů z počítačů Windows zabavených DarkSide. Kryptografický omyl neovlivnil operační systémy Linux.
Související příběh
Jak úředníci chrání volby před hackery ransomware Obavy z útoku na volební systémy jsou reálné. Hack by ale hlasování nepoškodil tolik jako dezinformace, které by z toho vyplynuly.Drbali jsme se na hlavě, řekl Wosar. Mohli to opravdu tak špatně posrat? DarkSide byl jedním z profesionálnějších schémat ransomware-as-a-service. Udělat tak obrovskou chybu je velmi, velmi vzácné.
Lovecký tým slavil tiše, aniž by hledal publicitu. White, který je studentem informatiky na Royal Holloway, součást Londýnské univerzity, začal hledat oběti DarkSide. Kontaktovala firmy, které se zabývají digitální forenzní analýzou a reakcí na incidenty.
Řekli jsme jim: ‚Hej, poslouchejte, jestli máte nějaké oběti DarkSide, řekněte jim, aby se na nás obrátili; můžeme jim pomoci. Můžeme obnovit jejich soubory a oni nebudou muset platit obrovské výkupné,“ řekl Wosar.
Hackeři z DarkSide většinou vzali vánoční sezónu pryč. Gillespie a Wosar očekávali, že až se útoky v novém roce obnoví, jejich objev pomůže desítkám obětí. Poté ale Bitdefender zveřejnil svůj příspěvek pod titulkem Darkside Ransomware Decryption Tool.
V kanálu pro zasílání zpráv s komunitou odpovědí na ransomware se někdo zeptal, proč by Bitdefender upozornil hackery. Publicita, odpověděl White. Vypadá dobře. Můžu zaručit, že to teď opraví mnohem rychleji.
Měla pravdu. Další den DarkSide uznal chybu, kterou Wosar a Gillespie našli před Bitdefenderem. Kvůli problému s generováním klíčů mají některé společnosti stejné klíče, napsali hackeři s tím, že zasaženo bylo až 40 % klíčů.
DarkSide se vysmíval Bitdefenderu, že uvolnil dešifrovač ve špatnou dobu... protože aktivita nás a našich partnerů během novoročních svátků je nejnižší.
Kromě frustrace týmu Wosar zjistil, že nástroj Bitdefender má své vlastní nevýhody. Pomocí firemního dešifrovače se pokusil odemknout vzorky infikované DarkSide a zjistil, že byly během procesu poškozeny. Ve skutečnosti provedli dešifrování špatně, řekl Wosar. To znamená, že pokud oběti použily nástroj Bitdefender, je velká šance, že poškodily data.
Na otázku ohledně Wosarovy kritiky Botezatu řekl, že obnova dat je obtížná a že Bitdefender přijal veškerá opatření, aby se ujistil, že nekompromitujeme uživatelská data, včetně vyčerpávajícího testování a kódu, který vyhodnocuje, zda je výsledný dešifrovaný soubor platný.
I bez Bitdefenderu si DarkSide stejně brzy uvědomil svou chybu, řekli Wosar a Gillespie. Například, když hackeři procházeli kompromitovanými sítěmi, mohli narazit na e-maily, ve kterých oběti, kterým pomohl Hunting Team, diskutovaly o chybě.
Mohli by na to přijít tímto způsobem – to je vždy možnost, řekl Wosar. Ale je to obzvláště bolestivé, pokud je zranitelnost vypálena něčím takovým hloupým.
Tento incident vedl Hunting Team k vytvoření termínu pro předčasné odhalení slabosti v kmeni ransomwaru. Interně často vtipkujeme: ‚Jo, pravděpodobně vytáhnou Bitdefender,‘ řekl Wosar.
Tento příběh byl publikován ve spolupráci s ProPublica, nezisková redakce, která vyšetřuje zneužívání moci. Renee Dudley a Daniel Golden se zaměřili na ransomware pro ProPublica a pracují na knize o týmu Ransomware Hunting Team, kterou příští rok vydá Farrar, Straus a Giroux.
Přihlaste se k odběru Největší příběhy ProPublica jakmile budou zveřejněny.