Connect with us

Deutsch

Die Entscheidung des FBI, die Entschlüsselungsschlüssel der Kaseya-Ransomware zurückzuhalten, löst eine Debatte aus

Published

on

Diese Woche berichtete die Washington Post, dass das FBI die Entschlüsselungsschlüssel für die Opfer des weit verbreiteten Kaseya-Ransomware-Angriffs vom Juli hatte, diese jedoch drei Wochen lang nicht weitergab.

Hunderte Organisationen waren von dem Angriff von Kaseya betroffen, darunter Dutzende Krankenhäuser, Schulen, Geschäfte und sogar eine Supermarktkette in Schweden.

Die Reporter der Washington Post, Ellen Nakashima und Rachel Lerman, schrieben diese Woche, dass es dem FBI gelungen sei, die Entschlüsselungsschlüssel zu erhalten, weil sie auf die Server von REvil zugegriffen hätten, der in Russland ansässigen kriminellen Bande, die hinter dem massiven Angriff steckte.

REvil verlangte von Kaseya ein Lösegeld in Höhe von 70 Millionen US-Dollar und von einzelnen Opfern Tausende, bevor es kurz nach dem Angriff dunkel wurde und wesentliche Teile seiner Infrastruktur stilllegte. Die Gruppe ist inzwischen zurückgekehrt, aber viele Organisationen erholen sich noch immer von dem weitreichenden Angriff vom 4. Juli.

Trotz der großen Zahl von Opfern des Angriffs gab das FBI die Entschlüsselungsschlüssel nicht weiter und beschloss, sie zu behalten, als es einen Angriff auf die Infrastruktur von REvil vorbereitete. Laut The Washington Post wollte das FBI den Betreibern von REvil keinen Hinweis geben, indem es die Entschlüsselungsschlüssel aushändigte.

Das FBI behauptete laut The Washington Post auch, dass “der Schaden nicht so schwerwiegend war wie zunächst befürchtet”.

Der FBI-Angriff auf REvil sei wegen des Verschwindens von REvil nie passiert, sagten Beamte der Zeitung. Das FBI teilte Kaseya schließlich am 21. Juli, Wochen nach dem Angriff, die Entschlüsselungsschlüssel mit. Mehrere Opfer sprachen mit der Washington Post über die Millionenverluste und den erheblichen Schaden, den die Angriffe angerichtet hatten.

Eine andere Quelle der Strafverfolgungsbehörden teilte schließlich die Entschlüsselungsschlüssel mit Bitdefender, das Anfang dieses Monats einen universellen Entschlüsseler für alle vor dem 13. Juli 2021 infizierten Opfer veröffentlichte. Mehr als 265 REvil-Opfer haben den Entschlüsseler verwendet, sagte ein Bitdefender-Vertreter der Washington Post.

Während seiner Aussage vor dem Kongress am Dienstag machte FBI-Direktor Christopher Wray anderen Strafverfolgungsbehörden und Verbündeten die Schuld an der Verzögerung, von denen sie sagten, sie hätten sie gebeten, die Schlüssel nicht zu verbreiten. Er sagte, er sei in dem, was er über die Situation sagen könne, begrenzt, weil sie immer noch untersuchen, was passiert ist.

“Wir treffen die Entscheidungen als Gruppe, nicht einseitig. Dies sind komplexe … Entscheidungen, die darauf ausgelegt sind, maximale Wirkung zu erzielen, und das braucht Zeit, um gegen Gegner anzutreten, bei denen wir Ressourcen nicht nur im ganzen Land, sondern auf der ganzen Welt verteilen müssen.” Es ist eine Menge Technik erforderlich, um ein Werkzeug zu entwickeln”, sagte Wray dem Kongress.

Die Enthüllung führte zu erheblichen Debatten unter Sicherheitsexperten, von denen viele die Entscheidung des FBI verteidigten, die Opfer wochenlang damit zu kämpfen, sich von dem Angriff zu erholen.

Critical Insight CISO Mike Hamilton – der sich mit einer besonders heiklen Situation befasste, in der ein Kaseya-Opfer im Stich gelassen wurde, nachdem es kurz vor dem Verschwinden von REvil ein Lösegeld gezahlt hatte – sagte, dass es bei der Offenlegung von Methoden eine Grundvoraussetzung für die Strafverfolgungs- und Geheimdienstgemeinschaften sei.

“Es gibt jedoch eine ‘Angabe’, die wir uns selbst bestätigt haben. Das FBI wird mit der Aussage zitiert, dass der Schaden nicht so schlimm war, wie sie dachten, und das gab etwas Zeit, um damit zu arbeiten. Dies liegt daran, dass das Ereignis nicht so war eine typische Stealth-Infiltration, gefolgt von einem Schwenk durch das Netzwerk, um die wichtigsten Ressourcen und Backups zu finden. Allen Hinweisen zufolge waren die einzigen Server, die von der Ransomware verschlüsselt wurden, diejenigen, auf denen der Kaseya-Agent installiert war. Dies war ein Smash-and-Grab-Angriff. “, sagte Hamilton.

„Wenn Sie es auf einem einzigen Server bereitstellen würden, auf dem die Speisekarte der Cafeteria angezeigt wird, könnten Sie schnell wieder aufbauen und vergessen, dass die ganze Sache passiert ist , wahrscheinlich für den ultimativen Zweck, einzelne Kriminelle zu identifizieren. Die Organisationen, die hart getroffen wurden, haben den Agenten auf lokalen Domänencontrollern, Exchange-Servern, Kundenabrechnungssystemen usw. bereitgestellt.”

Sean Nikkel, Senior Threat-Intel-Analyst bei Digital Shadows, sagte, das FBI habe möglicherweise die Notwendigkeit gesehen, die Operationen von REvil zu verhindern oder einzustellen, als die Notwendigkeit, eine kleinere Gruppe von Unternehmen zu retten, die mit nur einem Angriff zu kämpfen haben.

Aufgrund der zunehmenden Angriffs- und Erpressungsforderungen von REvil hat eine sich schnell entwickelnde Situation, die eine ebenso schnelle Reaktion erfordert, wahrscheinlich eine maßvollere Reaktion auf die Kaseya-Opfer vorweggenommen, erklärte Nikkel und fügte hinzu, dass die Entscheidung jetzt, da wir mehr Informationen haben, leicht zu beurteilen ist aber dass es damals eine schwierige Entscheidung gewesen sein muss.

“Die direkte Kontaktaufnahme mit den Opfern mag ein umsichtiger Schritt gewesen sein, aber Angreifer, die sehen, wie Opfer Dateien entschlüsseln oder massenhaft Verhandlungen abbrechen, haben möglicherweise den Trick des FBI für Gegenmaßnahmen enthüllt”, sagte Nikkel gegenüber ZDNet.

„Angreifer haben dann möglicherweise Infrastruktur abgebaut oder die Taktik auf andere Weise geändert. Hinzu kommt das Problem, dass der anonyme Soundbite über die Entschlüsselung in die öffentlichen Medien gelangt, der auch Angreifern Hinweise geben könnte. Kriminelle Gruppen achten genauso auf Sicherheitsnachrichten wie Forscher. oft mit eigener Social-Media-Präsenz.”

Nikkel schlug vor, dass ein besserer Ansatz darin gewesen sein könnte, Backchannel-Kommunikation mit beteiligten Unternehmen zur Reaktion auf Vorfälle zu öffnen, um Ressourcen und Reaktion besser zu koordinieren, aber er merkte an, dass das FBI dies möglicherweise bereits getan habe.

Jake Williams, CTO von BreachQuest, bezeichnete die Situation als einen klassischen Fall einer Bewertung des Gewinns/Verlusts von Informationen.

Wie Nikkel sagte er, es sei einfach für die Leute, “Montagmorgen-Quarterback” zu spielen und das FBI dafür verantwortlich zu machen, dass die Schlüssel nicht nachträglich freigegeben wurden.

Williams stellte jedoch fest, dass der direkte finanzielle Schaden mit ziemlicher Sicherheit weiter verbreitet war, als das FBI glaubte, da es den Schlüssel zum Schutz seiner Operation vorenthielt.

„Auf der anderen Seite löst die Freigabe des Schlüssels einen unmittelbaren Bedarf, ohne das größere Problem der Störung zukünftiger Ransomware-Operationen anzugehen. Alles in allem denke ich, dass das FBI die falsche Entscheidung getroffen hat, den Schlüssel zurückzuhalten“, sagte Williams.

„Allerdings habe ich auch die Bequemlichkeit, dies jetzt zu sagen, nachdem sich die Situation entwickelt hat. Angesichts einer ähnlichen Situation glaube ich, dass das FBI die Schlüssel freigeben wird, es sei denn, eine Störungsoperation steht unmittelbar bevor (Stunden bis Tage entfernt). Es war nicht erforderlich, Ransomware-Angriffe zu melden, dem FBI fehlte der vollständige Kontext, der erforderlich ist, um in diesem Fall die beste Entscheidung zu treffen. Ich gehe davon aus, dass dies als Fallstudie verwendet wird, um die Meldepflichten zu rechtfertigen.”

John Bambenek, Hauptbedrohungsjäger bei Netenrich, sagte, Kritiker sollten sich daran erinnern, dass das FBI in erster Linie eine Strafverfolgungsbehörde ist, die immer so handelt, dass die Ergebnisse der Strafverfolgung optimiert werden.

“Obwohl es für Unternehmen frustrierend sein kann, denen früher hätte geholfen werden können, braucht die Strafverfolgung Zeit und manchmal laufen die Dinge nicht wie geplant”, sagte Bambenek.

“Der langfristige Nutzen erfolgreicher Strafverfolgungsoperationen ist wichtiger als einzelne Opfer von Ransomware.”

Continue Reading

Copyright © 2021 Meta Mag Inc.