Министерство юстиции США официально объявило о прекращении работы сайта группы хакеров-вымогателей BlackCat (ALPHV) благодаря действиям ФБР. Агентство также выпустило инструмент, который позволил более 500 пострадавшим от этой группировки восстановить доступ к файлам, заблокированным вредоносным ПО, сэкономив на невыплаченном выкупе примерно $68 млн. Однако хакеры вернули себе доступ к ресурсу, а данные ещё тысяч жертв остаются зашифрованными.

Источник изображений: BleepingComputer.com

На сайте утечки данных BlackCat появился баннер, сообщающий, что он был конфискован в ходе международной операции правоохранительных органов из ряда стран. ФБР заявило, что на самом деле было конфисковано несколько сайтов, принадлежащих злоумышленникам.

Однако, как утверждает ресурс Bleeping Computer, к полудню вторника BlackCat заявила, что восстановила контроль над своим сайтом, отметив, что ФБР получило доступ к центру обработки данных, который она использовала для размещения серверов. Ввиду наличия ключей шифрования у обеих сторон злополучный сайт затем несколько раз в течение дня переходил из рук в руки.

Хакеры сообщили, что у ФБР были ключи дешифрования только для около 400 компаний, а данные 3000 жертв остались заблокированными. Также хакерская группировка заявила, что больше не будет ограничивать филиалы, использующие её программное обеспечение-вымогатель, от атак на критически важную инфраструктуру, включая больницы и атомные электростанции.

Как сообщает Минюст США, «за последние 18 месяцев ALPHV/Blackcat стал вторым по распространённости вариантом программы-вымогателя как услуги в мире, основываясь на сотнях миллионов долларов выкупов, уплаченных пострадавшими по всему миру». Согласно распределению ролей, группировка отвечает за создание и обновление программы-вымогателя, в то время как её филиалы находят цели и проводят атаки, после чего делят прибыль.

Летом хакеры BlackCat взяли на себя ответственность за взлом платформы Reddit, потребовав выкуп в размере $4,5 млн. Ближе к концу лета по их вине приостановили работу несколько казино и отелей MGM Resorts в Лас-Вегасе (штат Невада, США).

Разработчик MMORPG Ethyrial: Echoes of Yore, компания Gellyberry Studios, сообщила об атаке программы-вымогателя, из-за которой было утеряно 17 000 учётных записей игроков. Хакерская атака также привела к потере прогресса игроков и их внутриигровых предметов.

Источник изображения: Steam

«Утром в прошлую пятницу наш сервер стал жертвой криптографической атаки-вымогателя, которая систематически шифровала все данные на системном/локальном резервном диске и оставляла записку о выкупе в биткойнах для оплаты расшифровки файлов», — сообщила компания Gellyberry Studios на своём сервере Discord.

Чтобы исправить ситуацию, компания разработала план, который включает восстановление работы сервера вместе с новыми базами данных для персонажей и учётных записей. Также было обещано восстановить учётные записи игроков вручную, включая «каждый предмет, уровень, титул, домашнее животное и т. д.». Вдобавок игрокам подарят питомца в знак благодарности за поддержку.

Как отметил ресурс hothardware.com, Gellyberry Studios — небольшая компания, и на восстановление данных вручную будет потрачено много ресурсов, что негативно отразится на прогрессе в разработке игры.

Также следует отметить, что Ethyrial: Echoes of Yore находится в раннем доступе Steam и на этой стадии является бесплатной.

На Украине прошли аресты основных участников группировки хакеров-вымогателей, причастной к атакам на различные компании в 71 стране. В операции приняли участие правоохранительные органы семи стран в сотрудничестве с Европолом и Евроюстом.

Источник изображения: Pixabay

Для совершения атак на крупные корпорации злоумышленники использовали такие программы-вымогатели, как LockerGoga, MegaCortex, HIVE и Dharma. Доступ к сетям намеченных жертв преступники получали с помощью кражи учётных данных пользователей с использованием брутфорса (подбор пароля) и SQL-инъекций, а также фишинговых электронных писем с вредоносными вложениями.

Оказавшись внутри компьютерной сети, злоумышленники использовали такие инструменты, как вредоносное ПО TrickBot, или системы пост-эксплуатации, такие как Cobalt Strike или PowerShell Empire, чтобы остаться незамеченными и получить доступ к другим системам, прежде чем запустить программу-вымогатель, блокирующую данную систему. В группировке у каждого участника была своя роль: некоторые из них взламывали ИТ-сети, а другие занимались отмыванием криптовалютных платежей, сделанных пострадавшими в качестве выкупа за восстановление доступа к заблокированным данным.

Как сообщается, 21 ноября в результате скоординированных рейдов по 30 объектам в Киеве, Черкассах, Ровно и Виннице был арестован 32-летний руководитель группировки, а также задержаны четыре сообщника. Эта акция последовала за первым раундом арестов в 2021 году в рамках того же расследования, когда было задержано 12 человек.

В расследовании Национальной полиции Украины помогали более 20 следователей из Норвегии, Франции, Германии и США. Также Европолом был создан виртуальный командный центр в Нидерландах для обработки данных, изъятых во время обысков домов. Эта международная полицейская акция была инициирована французскими властями в сентябре 2019 года. В созданной совместной следственной группе приняли участие Норвегия, Франция, Великобритания и Украина при финансовой поддержке Евроюста и помощи Европола, а также властей Нидерландов, Германии, Швейцарии и США.

Хакерская группировка Lockbit опубликовала на своём сайте закрытую информацию, украденную у одного из крупнейших в мире производителей авиационной, космической и военной техники — американской корпорации Boeing. Ранее Lockbit, использующая для взлома и блокировки данных одноимённую программу-вымогатель, пригрозила корпорации разместить в открытом доступе её данные, если та не заплатит выкуп до 2 ноября.

Источник изображения: xusenru/Pixabay

О том, что ими был получен доступ к «огромному количеству» конфиденциальных данных Boeing, хакеры сообщили в октябре. Как утверждает Reuters, файлы, утёкшие в интернет, в основном датируются концом октября.

В своём заявлении Boeing подтвердила факт взлома, затронувшего элементы бизнеса по дистрибуции и продаже запчастей. Корпорация заверила клиентов, что инцидент не отразится на безопасности полётов, но отказалась дать комментарии по поводу того, были ли получены Lockbit оборонные или другие конфиденциальные данные.

«Нам известно, что в связи с этим инцидентом преступник-вымогатель обнародовал информацию, которую он якобы получил из наших систем», — заявила Boeing, добавив, что расследование инцидента продолжается и она будет поддерживать контакт с правоохранительными и регулирующими органами, а также всеми, кто мог потенциально пострадать.

Lockbit считается «одной из самых профессиональных организованных преступных группировок в криминальном подполье». По данным Агентства кибербезопасности и безопасности инфраструктуры США (CISA), группировка киберпреступников атаковала в США 1700 организаций.

Boeing сообщила о кибератаке на своё подразделение по дистрибуции и продаже запчастей. В компании не сообщили, кто стоял за инцидентом, но об этом сообщил сам его предполагаемый виновник — хакерская группировка LockBit, ответственная за распространение одноимённого вируса-вымогателя.

Источник изображения: John McArthur / unsplash.com

«Нам известно о киберинциденте, затронувшем элементы нашего бизнеса по дистрибуции и продаже запчастей. <..> Мы уведомляем наших клиентов и поставщиков», — сообщил ресурсу The Register представитель Boeing. В компании добавили, что происшествие не повлияло на безопасность полётов; сейчас проводится расследование инцидента, а действия специалистов согласуются с властями. На момент написания материала раздел сайта Boeing, связанный с соответствующим подразделением «не работал в связи с техническими проблемами».

Источник изображения: twitter.com/vxunderground

В Boeing виновников кибератаки не назвали, но, похоже, хакеры сделали это сами: ответственность за инцидент взяла на себя группировка LockBit. Эксперты по кибербезопасности VX Underground в минувшие выходные опубликовали скриншот сайта LockBit — группировка включила компанию в список своих жертв и дала ей шесть дней на то, чтобы начать переговоры. В понедельник упоминание Boeing пропало с сайта LockBit, а представители группировки сообщили VX Underground, что переговоры начались. Официального пресс-релиза или уведомления Комиссии по ценным бумагам и биржам США (SEC) от компании пока не последовало.

По оценке Агентства кибербезопасности и защите инфраструктуры США (CISA), группировка LockBit в 2022 году была самым активным оператором вирусов-вымогателей. Это не просто «кучка ботаников в подвале», утверждает VX Underground, — в группировке действует строгая административная иерархия. Хакеры занимаются продвижением собственного бренда: в частности, платят блогерам за татуировки с логотипом LockBit; и не стесняются брать на себя ответственность за киберинциденты, хотя к их заявлениям рекомендуется относиться скептически. В период с начала 2020 года по середину 2023-го группировка «заработала», по некоторым оценкам, более $90 млн, а среди её жертв значатся TSMC и SpaceX.

В рамках совместной операции правоохранительные органы нескольких стран арестовали разработчика вируса-вымогателя Ragnar Locker и отключили сайты в даркнете, принадлежащие группировке, которая была связана с этим вредоносным ПО. С 2020 года, по версии следствия, группировка осуществила кибератаки на 168 международных компаний по всему миру.

Источник изображения: Robinraj Premchand / pixabay.com

Разработчика вируса арестовали 16 октября в Париже, а в его доме в Чехии провели обыск. В последующие дни были допрошены пятеро подозреваемых в Испании и Латвии. В конце недели разработчик предстал перед судом в Париже. Обыск был проведён в доме ещё одного предполагаемого члена группировки в Киеве — у него конфисковали ноутбуки, мобильные телефоны и другие электронные устройства.

Дело по запросу французских властей Евроюст возбудил в мае 2021 года. Ведомство провело пять координационных встреч для содействия участвующим в расследовании органам. Это уже третья операция против данной банды вымогателей — на сей раз в ней участвовали правоохранительные органы Франции, Чехии, Германии, Италии, Латвии, Нидерландов, Испании, Швеции, Японии, Канады и США.

В сентябре 2021 года на Украине были арестованы двое подозреваемых благодаря скоординированным усилиям властей Канады, США и Украины. В октябре 2022 года в Канаде был задержан ещё один подозреваемый — в операции участвовали сотрудники правоохранительных органов Канады, США и Франции. В ходе последней операции были изъяты криптоактивы подозреваемых и закрыты сайты в даркнете.

В отличие от многих современных группировок, работающих по модели Ransomware-as-a-Service, группировка Ragnar Locker действовала преимущественно собственными силами, привлекая внешних тестировщиков для взлома корпоративных сетей. Среди жертв оказались производитель комплектующих Adata, авиационный гигант Dassault Falcon и японский разработчик игр Capcom. Кроме того, с апреля 2020 года вирус-вымогатель обозначился в сетях как минимум 52 организаций в различных сетях критической инфраструктуры США, сообщило ФБР.

В России активизировались вирусы-вымогатели LokiLocker и BlackBit, сообщает РБК со ссылкой на информацию от экспертов Лаборатории цифровой криминалистики компании F.A.C.C.T. (бывшая Group-IB). Эти вирусы не наносят ущерба компьютерам с интерфейсом на персидском языке (фарси).

Источник изображения: Pixabay

Первые атаки вируса LokiLocker были отмечены в странах Ближнего Востока, но происхождение вредоноса до сих пор остаётся неизвестным. В России параллельно с LokiLocker развернул деятельность его «близнец» BlackBit. Оба вируса шифруют файлы на машине и требуют выкуп в размере от $10 тыс. до $100 тыс. — киберпреступники предлагают выйти на связь через электронную почту или Telegram. Если через 30 дней выкуп не выплачивается, вымогатель удаляет с компьютера все файлы. При этом шифрование файлов не производится, если основным языком интерфейса на компьютере жертвы выбран фарси — персидский язык.

Вирусы LokiLocker и BlackBit с апреля 2022 года атаковали ресурсы не менее 62 компаний по всему миру, и 21 из них оказалась в России. Больше всех пострадали представители малого и среднего бизнеса, работающие в сферах строительства, туризма и розничной торговли. Эксперты расходятся во мнениях относительно происхождения вирусов: одни предполагают, что атаки осуществляются «под чужим флагом», чтобы запутать следы; другие же склонны считать, что кампанию организовали международные группировки киберпреступников, хотя первые версии вирусов и были созданы носителями персидского языка.

Специализирующаяся на вопросах кибербезопасности компания Cigent Technology готовится выпустить линейку твердотельных накопителей, один из которых, Cigent Secure SSD+, получит аппаратную защиту от вирусов-вымогателей.

Источник изображения: cigent.com

SSD получит дополнительный микроконтроллер безопасности, подключенный к основному контроллеру SSD от Phison. При помощи алгоритмов искусственного интеллекта этот компонент анализирует проходящие через SSD-контроллер данные на предмет признаков активности вирусов-вымогателей. Обнаружив такую активность, дополнительный чип блокирует накопитель и для доступа к файлам требует прохождения многофакторной аутентификации.

Процесс сканирования не влияет на скорость работы SSD, утверждает производитель, потому что микроконтроллер подключён к основному контроллеру, а не каналу данных. Технология работает небезупречно, признают в Cigent и даже допускают, что вирус может успеть зашифровать некоторые файлы до блокировки накопителя. Вероятны и некоторые сбои в работе алгоритмов машинного обучения, и если число ложных срабатываний окажется слишком высоким, сохраняется возможность динамически настроить чувствительность алгоритмов.

С другой стороны, предлагаемый метод защиты представляется производителю более эффективным, чем существующие решения, которые срабатывают уже после начала атаки, а не сразу. На начальном этапе Cigent Secure SSD+ сможет работать только как системный диск для Windows — поддержку Linux обещают реализовать в ближайшей перспективе. В продажу NVMe SSD поступит в мае, и он будет доступен в версиях на 480, 960 и 1920 Гбайт.

Исследователи в сфере кибербезопасности обнаружили новую версию вируса-вымогателя LockBit, предназначенную для работы на macOS — это первый случай, когда крупная хакерская группировка решила вторгнуться в экосистему Apple.

Источник изображения: Pete Linforth / pixabay.com

LockBit — один из наиболее известных вирусов-вымогателей, фигурировавший в нескольких крупных инцидентах. Первым свидетельством того, что одноимённая хакерская группировка начала экспериментировать с платформой macOS, стала публикация экземпляра в репозитории MalwareHunterTeam от 15 апреля. Вскоре после этого исследователи ресурса vx-underground выяснили, что вариант для компьютеров Apple появился не позднее 11 ноября 2022 года.

Как оказалось, бить тревогу ещё рано: вирус пока не готов для полномасштабной атаки, и его появление следует воспринимать скорее как декларацию о намерениях хакерской группировки начать работу по Apple. В существующем варианте это скорее вредонос для Windows, грубо портированный на macOS. При его распаковке в коде обнаружены строки с артефактами Windows, в том числе ссылки на файлы autorun.inf и ntuser.dat.log, но уже есть и переменная с именем apple_config. Один из экспертов также описал значительную часть кода как написанную для Linux, а впоследствии портированную под macOS. В подписи к файлу оказалось обозначение «ad-hoc», которое в «боевой» версии вируса будет заменено на краденный идентификатор разработчика Apple.

Источник изображения: apple.com

Специализирующиеся на вирусах-вымогателях группировки до настоящего момента не разрабатывали вредоносного ПО под macOS — их целями были организации и частные компании, чьи инфраструктуры составляют преимущественно рабочие станции под Windows. Однако присутствие устройств Apple в корпоративной среде постепенно увеличивается: по данным на 2021 год, испытывающие потребность в планшетах предприятия всё чаще закупают iPad, iPhone отвоевали уже около 50 % всех смартфонов в корпоративной среде, а «среднее проникновение» компьютеров под macOS на предприятиях составило около 23 %, а двумя годами ранее этот показатель был 17 %.

В Apple предвидели такой вариант развития событий и приняли некоторые меры защиты системы. Системные файлы macOS доступны только для чтения — даже при наличии root-доступа вредонос их изменить не сможет. А система TCC (Transparency, Consent, Control) обеспечивает дополнительную защиту важнейших каталогов. Это значит, что без дополнительных средств вирус не сможет зашифровать важные для пользователя файлы — ему нужна будет уязвимость в macOS или явное подтверждение доступа от пользователя. Проблема в том, что эти средства защиты пока не проверялись в полномасштабных атаках, и если хакеры начнут работать в полную силу, у них есть шанс найти какие-то бреши в безопасности.

В результате недавней хакерской атаки на сетевые ресурсы корпорации Western Digital, как предполагается, были похищены более 10 Тбайт служебной и пользовательской информации. Ресурсу TechCrunch удалось пообщаться с предполагаемыми организаторами этой атаки и выяснить, что они требуют у компании крупный выкуп за похищенные данные и условные гарантии дальнейшей безопасности.

Источник изображения: Western Digital Corporation

Как удалось узнать изданию TechCrunch, организаторы атаки на инфраструктуру Western Digital выбрали цель произвольно, при этом они не только похитили данные, но и сохранили доступ к важным информационным ресурсам. В качестве доказательства успешности атаки специалистам были продемонстрированы цифровые сертификаты, позволяющие подписывать документы от лица руководства Western Digital, а также служебные номера телефонов высокопоставленных сотрудников корпорации. Попытки дозвониться до них сопровождались включением автоответчика, который упоминал имена руководителей компании, идентифицируемые хакерами. Наконец, злоумышленники продемонстрировали снимок экрана служебной видеоконференции с участием руководителя подразделения WDC, отвечающего за информационную безопасность. Кроме того, хакеры получили доступ к определённым корпоративным информационным системам и хранилищам данных.

Шифровать скомпрометированные данные авторы атаки не стали, а теперь они рассчитывают на получение единовременного крупного выкупа, измеряемого десятками миллионов долларов США. В обмен на деньги они готовы отказаться от доступа к инфраструктуре Western Digital и указать компании на слабые места в системах защиты. Естественно, невыполнение этих требований грозит компании дальнейшими неприятностями, которые могут усугубиться при попытках пострадавшей стороны найти и наказать организаторов атаки. Если последние не получат выкуп к определённому времени, то похищенные данные будут выложены на сайте одной из хакерских группировок, к которой они сами прямого отношения не имеют. Организаторы атаки также не склонны никак идентифицировать свою группу. По их словам, до сих пор представители Western Digital на контакты с ними старались не идти. Хакеры признались, что получили доступ к учётной записи Western Digital в облачной инфраструктуре Microsoft Azure с привилегиями администратора, а также добрались до внутренних корпоративных ресурсов. Акции компании на фоне подобных новостей упали в цене на 2,95 %.

Компания MSI ранее сообщила, что её сетевая инфраструктура подвергалась кибератаке. Производитель компьютерных комплектующих не стал вдаваться в подробности взлома и не сообщил, были в результате этого инцидента затронуты данные пользователей. Как стало известно порталу BleepingComputer, ответственность за взлом взяла на себя некая группировка хакеров-вымогателей Money Message.

Источник изображения: MSI

Хакеры утверждают, что получили доступ к 1,5 Тбайт данных из CTMS- и ERP-систем, содержащих различную конфиденциальную информацию MSI. В частности, были похищены исходные коды программного обеспечения MSI, включая данные о структуре прошивок BIOS, используемых в продуктах производителя, криптографические ключи и прочие файлы.

Источник изображения: BleepingComputer

Злоумышленники угрожают опубликовать украденные данные в открытый доступ на следующей неделе, если MSI не согласится с их требованием о выкупе в размере $4 млн. BleepingComputer обратился за комментариями в MSI, но там ответа пока не предоставили.

Как сообщается, хакерская группа Money Message образовалась в прошлом месяце. По данным компании Cyble, занимающейся вопросами кибербезопасности, целями указанной группы злоумышленников являются системы на базе Window и Linux. Преступники стараются получить доступ к сетевой инфраструктуре жертвы, зашифровывают её, а затем требуют выкуп. Перед внедрением программ-вымогателей хакеры обычно пытаются украсть данные администраторов IT-сетей.

Количество атак вирусов-вымогателей на промышленные предприятия в 2022 году увеличилось на 87 % в сравнении с предыдущим годом. Большинство вредоносных программ при этом атаковало производственный сектор, сообщает Bloomberg со ссылкой на доклад экспертов по кибербезопасности в компании Dragos.

Источник изображения: Fotis Fotopoulos / unsplash.com

Чаще всего киберпреступники нападали на ресурсы горнодобывающих компаний Австралии и Новой Зеландии, а также американские и европейские компании, специализирующиеся на возобновляемых источниках энергии. Усилились атаки на секторы энергетики, продовольствия, водоснабжения, электроснабжения и природного газа. Одной программы-вымогателя, говорится в докладе, оказывается достаточно, чтобы нарушить работу десятков тысяч систем, помогающих в управлении инженерными сетями по всему миру.

Угрозы для энергетического сектора и критических объектов инфраструктуры выросли после начала украинских событий в феврале 2022 года, хотя общий объём атак оказался меньше ожидаемого. Для предотвращения крупномасштабных инцидентов компаниям рекомендовали разработать эффективные планы реагирования, а также подготовить инструменты мониторинга инфраструктуры и безопасного доступа к системам, в том числе средства двухфакторной авторизации.

Несмотря на рост числа инцидентов, связанных с вирусами-вымогателями, в 2022 году их жертвы намного реже платили выкуп: $456,8 млн по сравнению с $765,5 млн в 2021 году, посчитали недавно в Chainalysis.

В минувшие выходные несколько тысяч вычислительных систем по всему миру были взломаны и заблокированы с помощью трояна-вымогателя ESXiArgs, широкое распространение которого стало возможным благодаря уязвимости в серверном программном обеспечении VMware двухлетней давности, сообщил ресурс Bloomberg.

Источник изображения: Pixabay

Согласно данным поисковой системы Censys, на которые ссылается ресурс Bleeping Computer, в результате взлома было скомпрометировано более 3200 серверов VMware по всему миру. Больше всего пострадали от вируса-вымогателя компьютерные системы во Франции, за которой следуют США, Германия, Канада и Великобритания.

Представитель VMware Дорин Руяк (Doreen Ruyak) сообщила ресурсу TechCrunch, что вариант программы-вымогателя, получивший название ESXiArgs, «по-видимому, использует уязвимость, идентифицированную как CVE-2021-21974». Она отметила, что исправления для этой уязвимости «были доступны клиентам два года назад в рекомендациях по безопасности VMware от 23 февраля 2021 года».

«Гигиена безопасности является ключевым компонентом предотвращения атак программ-вымогателей, и организации, которые используют версии ESXi, затронутые CVE-2021-21974, и еще не применили исправление, должны принять меры, как указано в бюллетене», — добавила Дорин Руяк.

Заражённые машины представляют собой небольшую часть из более чем 66 000 подключённых к интернету серверов, которые могут стать потенциальными целями, отметил Патрис Оффре (Patrice Auffret), основатель и гендиректор французской фирмы по кибербезопасности Onyphe SAS.

По словам экспертов по безопасности, остаётся неясным, есть ли связь этой кампании с атакой программы-вымогателя на сети британской фирмы ION Trading UK, застопорившей на прошлой неделе торговлю деривативами по всему миру и совершённой печально известной хакерской группировкой LockBit.

В четверг Федеральное бюро расследований сообщило, что ему удалось тайно взломать серверы и прекратить деятельность банды кибервымогателей под названием Hive, помешав преступникам собрать более 130 миллионов долларов в виде выкупов от более чем 300 жертв.

Источник изображения: everypixel.com

На пресс-конференции генеральный прокурор США Меррик Гарланд (Merrick Garland), директор ФБР Кристофер Рэй (Christopher Wray) и заместитель генерального прокурора США Лиза Монако (Lisa Monaco) заявили, что правительственные хакеры проникли в сеть Hive и установили наблюдение за бандой, тайно похитив цифровые ключи, которые группа использовала для разблокировки организаций-жертв. «Используя законные средства, мы взломали хакеров, — заявила Монако журналистам. — Мы изменили ситуацию с Hive».

Веб-ресурс группы киберпрестуников Hive более не доступен, а прежнее содержимое их сайта заменено объявлением: «Федеральное бюро расследований конфисковало этот сайт в рамках скоординированных действий правоохранительных органов, предпринятых против Hive Ransomware». Серверы Hive также были одновременно атакованы Федеральной уголовной полицией Германии и Национальным отделом по борьбе с преступлениями в сфере высоких технологий Нидерландов.

«Интенсивное сотрудничество между странами и континентами, построенное на взаимном доверии, является ключом к эффективной борьбе с серьёзными киберпреступлениями», — заявил комиссар полиции Германии Удо Фогель (Udo Vogel) в заявлении полиции и прокуроров земли Баден-Вюртемберг, которые помогали в расследовании.

Уничтожение Hive отличается от некоторых других громких дел, связанных с программами-вымогателями, о которых Министерство юстиции США объявило в последние годы, таких как кибератака в 2021 году против Colonial Pipeline Co. Тогда Министерству юстиции удалось изъять около 2,3 миллиона долларов, полученных в виде выкупа в криптовалюте уже после того, как компания заплатила хакерам.

В этот раз изъятий не было, так как следователи вмешались до того, как преступники потребовали выкуп. Тайное расследование и проникновение на сервера преступной группы, начавшееся в июле 2022 года, до последнего момента оставалось незамеченным бандой. Но контактная информация Hive пока недоступна. Также отсутствуют данные о географическом базировании преступной группы.

Hive — одна из множества киберпреступных групп, которые вымогают деньги у международных компаний, шифруя их данные и требуя взамен крупных платежей в криптовалюте. И одна из самых активных. В предупреждении, распространённом в ноябре, ФБР сообщило, что жертвами киберпреступников Hive стали более 1500 компаний по всему миру, заплатившие около 100 миллионов долларов в виде выкупа.

Хотя в среду не было объявлено об арестах, расследование продолжается, а один из чиновников департамента посоветовал журналистам «следить за новостями». Операция ФБР помогла широкому кругу жертв, в том числе школьному округу Техаса. «Бюро предоставило школьному округу ключи дешифрования, что спасло его от выплаты выкупа в размере 5 миллионов долларов», — сказал он. А больнице Луизианы удалось сберечь 3 миллиона долларов.

Эксперт по кибербезопасности Бретт Кэллоу (Brett Callow) из канадской компании Emsisoft утверждает, что Hive несёт ответственность за как минимум 11 инцидентов с участием государственных организаций, школ и медицинских учреждений США в прошлом году. «Hive — одна из самых активных групп, если не самая активная», — говорится в его электронном письме.

Hive предоставляла третьим лицам программы-вымогатели в качестве услуги (Ransomware-As-A-Service — RaaS), получая часть средств, полученных вымогателями в виде выкупа. А поскольку об арестах не сообщалось, хакеры Hive, скорее всего, скоро «либо откроют магазин под другим брендом, либо будут завербованы в другие группы RaaS», — предположил Джим Симпсон (Jim Simpson), директор по исследованию угроз британской фирмы Searchlight Cyber. При этом он отметил, что «игра стоила свеч в любом случае, так как операция нанесла значительный ущерб деятельности Hive».

Британская Королевская почта, подвергшаяся на прошлой неделе кибер-атаке, из-за чего была временно прекращена отправка посылок и писем за пределы страны, утверждает, что личные данные её клиентов при взломе не были скомпрометированы.

Источник изображения: Pixabay

Гендиректор Royal Mail Саймон Томпсон (Simon Thompson) заявил во вторник на заседании Палаты общин британского парламента, что, согласно проведённому расследованию, утечки данных не произошло, хотя Управление Комиссара по информации Великобритании, которое регулирует вопросы конфиденциальности данных, было проинформировано о происшедшем инциденте.

«Если эта ситуация изменится, то мы, конечно, немедленно сообщим об этом клиентам и властям», — сказал Томпсон членам парламента. Он добавил, что компанию предупредили о том, что обсуждение даже незначительных или дополнительных деталей, касающихся инцидента, может нанести вред расследованию.

По словам Томпсона в ближайшее время следует ждать новостей по этому поводу, что предполагает появление возможности возобновления международных почтовых отправлений.

Как утверждает Bloomberg со ссылкой на информированные источники, за кибератакой на Королевскую почту стоит хакерская группировка LockBit, которая, используя вирус-вымогатель, блокирует работу компьютерных сетей, и требует за их разблокировку выкуп.