Решението на ФБР да забрани ключовете за дешифриране на raseomware на Kaseya разбуля дебатите

Сподели
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  

Тази седмица Washington Post докладвани че ФБР е имало ключове за декриптиране на жертвите на широко разпространената атака срещу ransomware Kaseya, която се е състояла през юли, но не ги е споделяла в продължение на три седмици.

Стотици организации бяха засегнати от нападението в Касея, включително десетки болници, училища, предприятия и дори верига супермаркети в Швеция.

Репортерите на Washington Post Елън Накашима и Рейчъл Лерман написаха тази седмица, че ФБР е успяло да получи ключовете за декриптиране, тъй като е имало достъп до сървърите на REvil, руската престъпна банда, която стои зад масираната атака.

REvil поиска 70 милиона долара откуп от Kaseya и хиляди от отделни жертви, преди да замръкне и да затвори значителни части от инфраструктурата си малко след атаката. Оттогава групата се завърна, но много организации все още се възстановяват от широкомащабната атака на 4 юли.

Въпреки големия брой жертви на атаката, ФБР не споделя ключовете за дешифриране, решавайки да ги задържи, докато се подготвят за атака срещу инфраструктурата на REvil. Според The ​​Washington Post, ФБР не е искало да дава сигнал на операторите на REvil, като раздава ключовете за декриптиране.

ФБР също твърди, че “вредата не е толкова тежка, колкото първоначално се страхуваше”, според The ​​Washington Post.

Атаката на ФБР срещу REvil никога не се е случила поради изчезването на REvil, казаха служители пред вестника. В крайна сметка ФБР сподели ключовете за дешифриране с Касея на 21 юли, седмици след нападението. Множество жертви говориха пред The ​​Washington Post за загубените милиони и значителните щети, нанесени от атаките.

Друг източник от правоохранителните органи в крайна сметка сподели ключовете за декриптиране с Bitdefender, който пусна универсален декриптор по -рано този месец за всички жертви, заразени преди 13 юли 2021 г. Повече от 265 жертви на REvil са използвали декриптора, каза представител на Bitdefender пред The ​​Washington Post.

По време на неговия показания пред Конгреса във вторник директорът на ФБР Кристофър Рей хвърли вината за забавянето върху други правоохранителни органи и съюзници, които според тях ги помолиха да не разпространяват ключовете. Той каза, че е ограничен в това, което може да сподели за ситуацията, защото те все още разследват случилото се.

“Взимаме решенията като група, а не едностранно. Това са сложни … решения, предназначени да създадат максимално въздействие и това отнема време в борбата срещу противниците, където трябва да обединяваме ресурси не само в цялата страна, но и по целия свят . Има много инженерство, което е необходимо за разработването на инструмент “, каза Рай пред Конгреса.

Разкритието предизвика значителен дебат сред експертите по сигурността, много от които защитиха решението на ФБР да остави жертвите да се борят за възстановяването си от атаката в продължение на седмици.

Critical Insight CISO Майк Хамилтън – който се справи с особено трудна ситуация, при която жертва на Касея беше оставена на бял свят, след като плати откуп точно преди изчезването на REvil – заяви, че вниманието при разкриването на методите е основен елемент от правоприлагащите и разузнавателните общности.

“Има обаче” кажете “, че ние сме се потвърдили. ФБР е цитирано, че щетите не са били толкова лоши, колкото са си мислили, и това е предоставило известно време за работа. Това е така, защото събитието не е типична проникване в стелт, последвано от завъртане през мрежата, за да се намерят ключовите ресурси и архиви. От всички индикации единствените сървъри, които са били криптирани от ransomware, са тези с инсталиран агент Kaseya; това беше атака „разбий и вземи“, – каза Хамилтън.

“Ако го бяхте разполагали на един сървър, използван за показване на менюто на кафенето, бихте могли да възстановите бързо и да забравите всичко, което се е случило. Фактът, че светът всъщност не е в пламъци, отново създаде време да се задълбочим в организацията. , вероятно с крайна цел за идентифициране на отделни престъпници. Онези организации, които бяха силно ударени, бяха разположили агента на локални контролери на домейни, Exchange сървъри, системи за таксуване на клиенти и т.н. “

Шон Никел, старши анализатор на информация за заплахите в Digital Shadows, заяви, че ФБР може да е видяло необходимостта от предотвратяване или затваряне на операциите на REvil като надвишаваща необходимостта от спасяване на по -малка група компании, които се борят само с една атака.

Поради нарастващия мащаб на атаки и изисквания за изнудване, бързо развиваща се ситуация, изискваща еднакво бърз отговор, вероятно е предотвратила по-премерен отговор към жертвите на Касея, обясни Никел, добавяйки, че е лесно да се прецени решението сега, когато имаме повече информация но че тогава това трябва да е бил труден разговор.

„Тихото достигане директно до жертвите може да е било разумна стъпка, но нападателите, виждащи жертвите да дешифрират файлове или масово отказват от преговорите, може да са разкрили уловката на ФБР за противодействие“, каза Никел пред ZDNet.

“Тогава нападателите може да са свалили инфраструктурата или по друг начин да са променили тактиката. Съществува и проблемът с анонимната звукова информация за декриптирането, която прониква в публичните медии, което също би могло да отблъсне нападателите. Престъпните групи обръщат внимание на новините за сигурността толкова, колкото правят изследователите, често със собствено присъствие в социалните медии. ”

Никел предположи, че по -добър подход може би е бил да се отворят задни канали за комуникация с участващите фирми за реагиране на инциденти, за да се координират по -добре ресурсите и реакцията, но той отбеляза, че ФБР може вече да е направило това.

Техническият директор на BreachQuest Джейк Уилямс нарече ситуацията класически случай на оценка на печалбата/загубата на интелигентност.

Подобно на Никел, той каза, че е лесно хората да играят „защитник в понеделник сутринта“ и обвинява ФБР, че не е пуснало ключовете след това.

Но Уилямс отбеляза, че преките финансови щети почти със сигурност са по -широко разпространени, отколкото ФБР вярва, тъй като удържа ключа за защита на своята дейност.

“От друга страна, освобождаването на ключа решава непосредствена необходимост, без да се решава по -големият въпрос за прекъсване на бъдещите операции срещу ransomware. Като цяло мисля, че ФБР е взело погрешно решение, като е задържало ключа”, каза Уилямс.

“Въпреки това, аз също имам удобството да кажа това сега, след като ситуацията се изигра. Като се има предвид подобна ситуация отново, вярвам, че ФБР ще пусне ключовете, освен ако операцията за прекъсване не е неизбежна (часове до дни далеч). Тъй като организациите не са „Не се изисква да докладва атаки срещу ransomware, ФБР нямаше пълния контекст, необходим за вземане на най -доброто решение в този случай. Очаквам това да бъде използвано като казус за оправдаване на изискванията за докладване“.

Джон Бамбенек, ловец на главни заплахи в Netenrich, каза, че критиците трябва да помнят, че преди всичко ФБР е правоприлагаща агенция, която винаги ще действа по начин, който оптимизира резултатите от правоприлагането.

„Въпреки че може да е разочароващо за бизнеса, на който би могло да се помогне по -рано, правоприлагането отнема време и понякога нещата не се получават по план“, каза Бамбенек.

“Дългосрочната полза от успешните правоприлагащи операции е по -важна от отделните жертви на ransomware.”

Публикациите се превеждат автоматично с google translate

Източник: www.zdnet.com


Сподели
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •