テキサスのハッキングがランサムウェアビジネスを永遠に変えた方法、ダイナテンプルラストン

https://therecord.media/how-a-texas-hack-changed-the-ransomware-business-forever/
2019年8月16日の早朝の時間は、コンピュータープリンターのうなり音とげっぷ音で始まりました。
人口13,000人のボーガーがランサムウェア攻撃に苦しんでおり、プリンターのページは要求でいっぱいでした。
「基本的にそれが言った行の間を読むと、システムが感染していることがわかります」とウィスラーは回想しました。
「それは非常に明確な支払いかそうでなかった。」
そして、それを止めたいと思ったすべてのサイバー犯罪者は、ビットコインで250万ドルでした。
「当時の市長は、「保険が要求しているので、私は尋ねなければなりません。身代金の支払いを検討したいですか」とウィスラーは言いました。 「すぐにノーと言いました。」彼の見解では、それはテロリストと交渉することに等しい。支払わないという決定は、驚くべきノックオン効果をもたらしました。それは、悪名高いランサムウェアギャング、ロシアを拠点とするREvil、またはランサムウェアの悪を、ビジネスのやり方を再考することを余儀なくさせました。それが思いついたのは、サービスとしてのランサムウェアと呼ばれるものであり、ランサムウェアが今日世界で最も急速に成長しているサイバーセキュリティの脅威の1つである理由の大きな部分を占めています。ハッキングはリアルタイムでどのように見えますかここにいくつかのサイバー監視ビデオがあります。Ransomware-as-a-service（RaaS）は、フランチャイズモデルです。ランサムウェア攻撃を最初から最後まで開始する代わりに、サイバー犯罪者は作業を分割し始めました。 REvilの場合、時間のかかるフロントエンドのハッキング作業を他のグループに提供することを決定しました。ネットワークを危険にさらす脆弱性を発掘する可能性があり、REvilは、マルウェアパッケージからネゴシエーターまで、ランサムウェアの操作自体に必要なすべてを処理します。支払いを待っているビットコインウォレット。彼らのサービスのために、REvilは支払われた身代金のパーセンテージを受け取ります。昨年TheRecordが公開したインタビューで、あるREvilマネージャーは、グループが60を超えるアフィリエイトの同人を開発し、その全員がサイバー攻撃を開始したと主張しました。そのため、過去に発生したように1つのグループが数十のサーバーの身代金を保持する代わりに、数十のグループが同時に作業して数万のサーバーをロックアップしていました。ランサムウェアの悪テキサスの攻撃の約1年前に、CertifiedCIOという名前のマネージドサービスプロバイダーがテキサスの攻撃が侵害されていることを発見しました。ハッカーはクライアントネットワークに侵入し、身代金を要求するためにサーバーを制御し始めていました。サイバーセキュリティ会社のハントレスのCEOであるカイルハンスロバンは、次のように述べています。 「そしてその過程で、アクターがMSPのリモート管理ソフトウェアに侵入したことに気づきました」。たまたま、会社がクライアントとのヘルプセッションを記録するために設定したビデオフィードが、職場の悪者を誤って捕らえたことがあります。そのため、ハンスロバンと彼のチームは突然、本質的にサイバー監視映像であったものを何時間も持っていました。彼らは、ハッカーがクライアントネットワークを系統的に処理しているのを見ることができました。ウイルススキャナーをオフにし、各ホストを暗号化し、パスワードを盗みました。カイル・ハンスロバン「実際に画面上でそれらを見ることができました」とハンスロバンは言いました。 「面白いのは、戦術、能力、チェックしたこと、最初のアクセスを取得した後に何をしたかについての命名スキームです」すべてがグループが侵入を実行した方法についての信じられないほどの洞察を提供し、ハンスロバンはグループが彼を信じるようになりました何年にもわたって目を光らせていたのですが、最終的にはREvilになるグループがそのすべての背後にいました。「REvilとの最初の慣らしは、おそらく彼らが自分たちをREvilと呼ぶ前に、おそらく2017年のようです。おそらく2016年という早い時期でさえも」と彼は言い、ハンスロバンのクライアントであるCertifiedのようなMSPをターゲットにするのが好きだったので彼らを認識したと付け加えました。 CIO。ギャングは、MSPソフトウェアの脆弱性を見つけるのが特に得意であり、当時、それを実行しているように見えたのは彼らだけでした。ハンスロバンがテキサスで何が起こったのかを聞いたとき、彼は長年研究してきたグループであるREvilもその背後にいると確信していました。マネージャー：不明昨年、Dmitry Smilyanetsという名前のセキュリティアナリストが、REvilの経営陣のメンバーであると主張する誰かと長いオンラインチャットをしました。彼はオンラインハンドル「不明」を通りました。「不明はハッカーではありませんでした。彼はオペレーターでした。彼はマネージャーでした」とSmilyanetsは言いました。 「彼の仕事はインフラストラクチャを制御し、すべてが機能することを確認することでした。被害者との通信回線が確立されていて、支払いが行われていることを確認してください。」Smilyanetsは、Unknownの言葉をそのまま受け入れただけではありません。彼はしばらくの間REvilマネージャーを監視し、ダークウェブでメッセージトラフィックを追跡し、オンラインウォレットがビットコインで膨らむのを監視していました。Smilyanetsは最終的にUnknownが彼の主張する人物であると確信しました。 （Smilyanetsは、脅威インテリジェンス企業であるRecorded Futureで働いています。ここをクリックして、TheRecordはRecordedFutureの一部門であり、編集上独立しています。）スミリヤネッツとのチャットで不明が行ったすべての主張を検証することは不可能ですが、彼は2019年以降、REvilがいくつかの再考を行ったことを明らかにしました。 「彼らの主な目標はお金を稼ぐことであり、彼らがこのお金を稼ぐまで彼らは何も止めません」とSmilyanetsは言いました。 「彼らは犠牲者に支払うよう圧力をかけるのを助けるために新しい戦術、新しい技術をもたらします。」サービスとしてのランサムウェアは、それらの新しい手法の1つでした。 RaaSはより効率的であるだけでなく、ある程度の否認を提供しました。セキュリティアナリストや法執行機関は、ランサムウェアにREvilのコードを見つける可能性がありますが、新しいビジネスモデルのため、REvilが実際にその背後にあるかどうかを確認できませんでした。さらに、REvilはさまざまなアフィリエイトグループを巡回していたため、アトリビューションの試みが複雑になりました。 2019年以降の司法省によると、REvilは約175,000のランサムウェア攻撃に関連しており、約2億ドルの身代金を生み出しています。「私たちはちょっと寝ました」ボーガーの市長であるウィスラーとギャレット・スプラドリングにとって、2019年の出来事は決して大げさなものにはなりませんでした。彼らの唯一の焦点は、街のコンピューターを再び稼働させることでした。 「私はボーガー市での日常業務に対処するのに十分です」とスプラドリングは言いました。 「つまり、聞こえるかどうかはわかりませんが、他の都市についても考えていませんでした。私は自分の街について心配するのに十分です。」ですから、REvilが関与していたという事実は、当時、そして今でも、要点を超えているように見えました。サイバー犯罪者の追跡は他の人に任されていました。FBIや、場合によってはNSAを含む連邦法執行機関です。テキサス以前は、壮大なハッキングの背後にいる人々は国民国家の俳優である傾向がありました。北朝鮮人は2014年にソニーピクチャーズに侵入しました。中国人は1年後に人事管理局から何百万もの秘密の人事ファイルを盗んだ。これらの種類は、サイバースペースにおけるアメリカの主な敵であり、APT（Advanced Persistent Threats）として知られており、米国に対する攻撃では、通常、ロシア、中国、北朝鮮、イランの4大国のいずれかからのものでした。カイル・ハンスロバンはかつてNSAで働いていたが、NSAとサイバーコムがこの種の脅威と戦うフォートミード内の焦点はほとんど国民国家の多様性にあると彼は述べた。「 『ATPを追いかけよう』が当時のすべてだった」と彼は言った。そして、これらのアクターにそのような焦点が当てられていたため、ハンスロバンは重要な変化を通じて「私たちは一種の眠りについた」と信じています。2015年または2016年に、犯罪者もサイバースペースを武器にし始めました。 「私たちはすべてのサービスとしてのランサムウェアの電力曲線に遅れをとっていました」とHaslovan氏は述べています。犯罪要素はゆっくりと始まり、初期アクセスブローカーと呼ばれるものがありました。ランダムなコンピューターの脆弱性を見つけてそれらをバンドルした、ありふれたハッカーです。 「最初のアクセスブローカーは、コンピューターへのこれらの重要でないアクセスをすべて持っている人々を取得し、それらをまとめて、安価に再販します」とハンソルバン氏は述べています。 「アクセスに10ドルもかかることもあります。」購入者は、さまざまなアクセスポイントを探し回って、どこにアクセスできるかを確認します。たとえば、あるコンピュータに小さな脆弱性があると、会社の電子メールシステムや会社のネットワークなど、他の何かに侵入する可能性があります。その場合、10ドルで購入したアクセスが100ドルで販売される可能性があることがわかりました。 –多分$ 1,000。それはサービスモデルでした。「2018年頃を見て、この行動が起こるのを見ることができたでしょう」とハンスロバンは言いました。 「それは経済的に理にかなっています。繰り返しになりますが、ラストマイルで誰かがあなたの論文を配達しているのも同じ理由です。 1対多の関係を持つことは非常に理にかなっていますが、[サイバーセキュリティ]文化としてそれに反応するのは非常に遅かったのです。」44,000ドルの請求書サーバーのアップグレードの最中でなかった場合、別の犠牲者がいたため、Borgerはその2019年の攻撃から出現した可能性があります。その8月に、たまたまそのデータを新しい市庁舎のサーバーに転送している最中だった。それから母なる自然が手を貸した。「運が良ければ、そのサーバーで障害が発生しました」とWhisler氏は述べています。 「そして、嵐が発生する前の2、3夜、電源が点滅したとき、そのサーバーはシャットダウンし、オフラインになりました。そのため、個々のデスクトップの多くがネットワークを介してこの影響を受けましたが、都市の運営、公共料金の請求に必要なデータの大部分は、シャットダウンしたサーバーに実際に保存されていました。」市のマネージャーであるSpradlingは、他のいくつかの幸せな事故は、ランサムウェアの攻撃が恐ろしいことを意味しましたが、結局はそれほど費用がかからなかったと言いました。すべてを正しくするために、市は約44,000ドルを運営しましたが、これは市の一般的な緊急時の資金の半分でもありませんでした。テキサス州も彼らを助けました。当局者はいくつかのコンピューター会社と話をし、何が起こったのかを説明し、会社はボーガーに新しいコンピューターの大幅な割引を与えた。ウィスラーはとにかくアップグレードする必要があると言った。「彼らが何も得られなかったことは満足です」と彼は言いました。 「私たちの全体的な費用は私たちの損失であり、交換は州によって軽減され、身代金は一切支払っていませんでした。全体として、私はそれを成功した失敗と呼ぶでしょう。」ロイター通信によると、REvilは独自の方法で、運が尽きたように見える10月に戻るまで、おそらくそのように見ていました。米国サイバー軍とNSAは、REvilに対して攻撃的なサイバー作戦を開始しました。彼らはサーバーを乗っ取り、すべてのトラフィックをリダイレクトし、基本的にRaaSランサムウェアの操作を停止しました。数ヶ月後、モスクワは独自のサルボを発射しました。それは、当局が12人以上のREvilメンバーとされる家を襲撃するビデオを公開した。モスクワはその後、バイデン大統領への好意としてREvilメンバーを逮捕したと述べた。REvilのマネージャーであるUnknownに関しては、彼は何ヶ月も行方不明になっています。 「彼は姿を消した」とスミリヤネッツは言った。そして少なくとも今のところ、REvilもそうです。— SeanPowersとWillJarvisによる追加のレポートDina Temple-Rastonは、Click Hereポッドキャストのホスト兼エグゼクティブプロデューサーであり、TheRecordの上級特派員でもあります。彼女は以前、ニュース速報と国家安全保障、技術、社会正義に焦点を当てたNPRの調査チームに所属し、受賞歴のあるAudibleポッドキャスト「WhatWereYouThinking」をホストして作成しました。彼女は中国のブルームバーグニュースの長年の外国特派員であり、クリントン政権の間、ブルームバーグのホワイトハウス特派員を務めました。彼女は、「ジハードネクストドア：恐怖の時代の大まかな正義」、「テキサスでの死：人種、殺人、小さな町の償還のための闘いの物語」を含む4冊の本の著者です。