Министерство юстиции США сообщило об аресте гражданина России Руслана Астамирова по обвинению в причастности к совершению атак программы-вымогателя LockBit на американские и иностранные компании. Согласно иску, как минимум с августа 2020 года по март 2023 года Астамиров вместе с другими участниками хакерской группы участвовал в развёртывании вредоносного ПО, требуя выкуп за разблокировку затронутых вирусом компьютерных систем.

Источник изображения: Towfiqu barbhuiya/unsplash.com

Сообщается, что Астамиров использовал различные адреса электронной почты, адреса интернет-протокола (IP) и учётные записи интернет-провайдеров для распространения программы-вымогателя LockBit и общения с пострадавшими. Согласно иску, как минимум в одном случае правоохранительным органам удалось отследить перевод части выкупа жертвой на адрес в виртуальной валюте, находящийся под контролем Астамирова.

Непосредственно Астамиров осуществил как минимум пять атак на компьютерные системы в Соединённых Штатах и за рубежом. Ему предъявлено обвинение в сговоре с целью совершения мошенничества с использованием электронных средств связи, а также в сговоре с целью умышленного повреждения защищённых компьютеров и передачи требований о выкупе. В случае признания виновным, Астамирову грозит максимальное наказание в виде 20 лет лишения свободы по первому обвинению и максимальное наказание в виде пяти лет лишения свободы по второму. Также по этим обвинениям предусмотрено наказание в виде максимального штрафа в размере $250 000 или в двойном размере прибыли или убытка от совершённого преступления, в зависимости от того, что больше.

«Астамиров является третьим ответчиком, которому прокуратурой Нью-Джерси предъявлено обвинение в глобальной кампании вымогателей LockBit, и вторым обвиняемым, которого задержали», — сообщил прокурор США Филип Р. Селлинджер (Philip R. Sellinger) в округе Нью-Джерси.

В пресс-релизе Минюста США также сообщается, что в настоящее время в Канаде находится под стражей в ожидании экстрадиции в США россиянин Михаил Матвеев, обвиняемый в причастности к развёртыванию программ-вымогателей LockBit, Babuk и Hive на компьютерах жертв в США и других странах.

Microsoft выпустила очередной патч в рамках программы Patch Tuesday, содержащий исправления для 97 уязвимостей в разных продуктах компании. Помимо прочего, разработчики устранили уязвимость нулевого дня CVE-2023-28252, которая связана с драйвером Windows Common Log File System (CLFS) и позволяет повысить уровень привилегий в атакуемой системе.

Источник изображения: Microsoft

Согласно имеющимся данным, упомянутая уязвимость активно используется хакерами для проведения атак с использованием вымогательского программного обеспечения. Проблема затрагивает все актуальные серверные и клиентские версии Windows, поэтому установку патча лучше не откладывать.

По данным «Лаборатории Касперского», уязвимость CVE-2023-28252 используется злоумышленниками для развёртывания вымогателя Nokoyawa. Преимущественно атаки такого типа нацелены на представителей малого и среднего бизнеса на Ближнем Востоке, в Северной Америке и Азии. Специалисты по информационной безопасности отметили, что упомянутая уязвимость нулевого дня отличается от других тем, что она активно эксплуатируется финансово мотивированными киберпреступниками.

Впервые вредоносное ПО Nokoyawa было замечено в феврале 2022 года. Предполагается, что члены ныне не существующей группировки Hive выступали в роли операторов этого ПО. Как и другие вымогатели, Nokoyawa шифрует данные на атакуемых устройствах, после чего требует выкуп за их восстановление. Операторы вредоноса также угрожали жертвам раскрытием конфиденциальных данных, которые они якобы похищают в ходе атак.

Итальянский производитель суперкаров Ferrari подтвердил, что внутренние IT-системы компании подверглись атаке вымогательского программного обеспечения, в результате которой данные клиентов попали в руки злоумышленников. Уведомление об этом и официальные извинения от лица компании были разосланы клиентам Ferrari, которых затронул инцидент.

Источник изображения: Ferrari

«Мы с сожалением сообщаем вам о киберинциденте в Ferrari, в результате которого хакеры смогли получить доступ к ограниченному числу систем в нашей IT-среде», — говорится в сообщении от имени генерального директора Ferrari Бенедетто Винья (Benedetto Vigna).

Согласно имеющимся сведениям, злоумышленники получили доступ к личным данным клиентов Ferrari, включая их ФИО, адреса проживания, адреса почтовых ящиков и номера телефонов. Проведённое расследование показало, что никакая платёжная информация или данные об имеющихся в работе автопроизводителя заказах не были похищены. В Ferrari также подтвердили, что киберинцидент не повлиял на работу компании.

Отметим, что Ferrari не уточнила, сколько клиентов затронул киберинцидент, и когда именно он произошёл. Известно лишь, что IT-системы автопроизводителя были атакованы с помощью вымогательского ПО, но Ferrari отказалась платить выкуп. Официальные представители компании воздерживаются от комментариев по данному вопросу.

В 2022 году потери экономики США от онлайн-мошенничества превысили $10 млрд, что является самым высоким годовым ущербом за последние пять лет, сообщил ресурс CNN со ссылкой на ежегодный отчёт ФБР о преступлениях в интернете Internet Crime Report.

Источник изображения: Pixabay

Согласно отчёту, рост ущерба от онлайн-мошенничества более чем на $3 млрд по сравнению с 2021 годом был вызван почти утроением зафиксированных случаев мошенничества с инвестициями в криптовалюту.

Отчёт отражает, во сколько хакерские и другие мошеннические схемы обходятся американской экономике. В прошлом году больше всего жалоб на мошенничество подали люди старше 30 лет, причём больше всех пострадали пожилые люди. По данным ФБР, на долю пострадавших в возрасте старше 60 лет пришлось $724 млн или более двух третей заявленных потерь от «мошенничества в колл-центрах», когда мошенники звонят потенциальным жертвам, выдавая себя за службу технической поддержки или правительственные учреждения.

По подсчётам ФБР, на мошенничество с использованием программ-вымогателей приходится около $34 млн скорректированных убытков. Относительно скромная цифра по сравнению с потерями от других форм мошенничества может быть объяснена тем, что многие пострадавшие компании до сих пор не извещают ФБР об инцидентах с использованием программ-вымогателей.

По данным ФБР, в прошлом году популярный тип программы-вымогателя Hive использовался в 87 атаках. В январе этого года ведомству удалось прекратить деятельность группы хакеров Hive, требовавшей более $130 млн в виде выкупа у более чем 300 жертв, включая школы и больницы.

Также в отчёте упоминается схема взлома, известная как компрометация деловой электронной почты (business email compromise, BEC), заключающаяся в том, что жертву обманом заставляют перевести деньги киберпреступникам, выдающим себя за клиента или родственника. Как указано в документе, в 2022 году скорректированные убытки от мошенничества с BEC составили около $2,7 млрд по сравнению с примерно $2,4 млрд в 2021 году.

Известный производитель оборудования и программного обеспечения для выпуска чипов Applied Materials в ходе недавнего финансового отчёта заявил, что атака хакеров-вымогателей на одного из его поставщиков дорого обойдётся бизнесу. Applied Materials это будет стоить в следующем квартале $250 млн упущенной выручки.

Источник изображения: Applied Materials

Производитель предпочёл не сообщать, о каком именно поставщике идёт речь, но некоторые отраслевые эксперты считают, что речь идёт о компании MKS Instruments, поставляющей инструменты и технологии, которая в понедельник внезапно объявила, что должна перенести собственный доклад о доходах в IV квартале именно из-за атаки вымогателей, информация о которой появилась 3 февраля.

По данным представителя Applied Materials, сбои в работе одного из поставщиков повлияют на поставки во втором квартале. По прогнозу, за второй квартал фискального 2023 года выручка составит порядка $6,40 млрд, с учётом влияния недавнего киберинцидента у одного из поставщиков, негативный эффект от которого составит $250 млн. На прямой вопрос о том, идёт ли речь об MKS Instruments, представитель бизнеса не ответил. В самой MKS заявляют, что находятся в «стадии восстановления» после атаки.

Сообщается, что атака повлияла на способность компании обрабатывать заказы в первом квартале, поставлять продукты и обеспечивать сервисное обслуживание в подразделениях Vacuum Solutions и Photonics Solutions. В MKS добавили, что пока неизвестно, когда последствия инцидента будут устранены полностью. Дополнительно бизнес оценивает, насколько страховка покроет расходы, связанные с атакой. Известно, что теперь отчёт перенесён на 28 февраля. Ни одна из групп кибервымогателей не взяла на себя публичной ответственности за атаку.

Важно, что атака на MKS подтверждает худшие страхи экспертов по кибербезопасности, связанные с тем, что вместо крупной, хорошо защищённой компании злоумышленники могут напасть на более мелкую, при этом нанеся весьма ощутимый урон всей производственной цепочке. Полупроводниковая отрасль является одним из самых сложных и важных сегментов в глобальной экономике, в то же время очень уязвимым.

По мнению экспертов, перебои на полупроводниковом рынке могут иметь долговременные последствия и влиять буквально на всё, от производства автомобилей до цен на еду. Поэтому такие атаки заслуживают намного больше внимания, чем оказывается сегодня.

Компания Cisco Systems подтвердила, что в конце мая её корпоративная сеть подверглась атаке хакеров, занимающихся распространением вымогательского программного обеспечения Yanluowang. Отмечается, что злоумышленникам удалось украсть не являющиеся конфиденциальными данные, связанные со скомпрометированной учётной записью одного из сотрудников.

Источник изображения: Bleeping Computer

«В конце мая 2022 года в корпоративной сети Cisco Systems произошёл инцидент безопасности, и мы немедленно приняли меры по сдерживанию и блокировке злоумышленников. Этот инцидент не повлиял на бизнес компании, включая продукты и услуги, конфиденциальные данные клиентов и сотрудников, интеллектуальную собственность и операции в цепи поставок», — прокомментировали данный вопрос в Cisco Systems.

По данным источника, злоумышленники смогли получить доступ к внутренней сети Cisco Systems после того, как им удалось взломать аккаунт Google одного из сотрудников. С помощью обмана им удалось убедить жертву принять push-уведомление многофакторной аутентификации, в результате чего был получен доступ к VPN в контексте целевого пользователя. После проникновения в сеть Cisco Systems злоумышленники скомпрометировали несколько серверов Citrix и получили привилегированный доступ к контроллерам домена. Получив права администратора домена, они осуществили сбор данных и загрузили на скомпрометированные системы вредоносное программное обеспечение, включая бэкдор.

В конечном итоге специалисты Cisco Systems обнаружили присутствие злоумышленников во внутренней сети, после чего они были заблокированы. Отмечается, что в течение последующих нескольких недель хакеры не оставляли попыток восстановить доступ к системам Cisco Systems. При этом в компании не обнаружили никаких признаков того, что хакеры загрузили в сеть ПО для шифрования данных на скомпрометированных системах.

Любопытно, что несколько дней назад один из участников атаки на Cisco Systems связался с порталом BleepingComputer и предоставил доказательства того, что хакерам удалось похитить ценные данные. Он сообщил, что в ходе атаки было украдено около 2,75 Гбайт данных (примерно 3100 файлов), многие из которых представляют собой соглашения о неразглашении, дампы данных и инженерные чертежи.

Злоумышленники всё чаще используют поддельные обновления программного обеспечения от Microsoft и Google для распространения вредоносов. Последним примером этого является шифровальщик-вымогатель HavanaCrypt, которого специалисты из компании Trend Micro недавно обнаружили замаскированным под пакет обновлений Google Software Update.

Источник изображения: Pixabay

Новый вымогатель имеет ряд особенностей. Командно-контрольный сервер вредоноса использует IP-адрес веб-хостинга Microsoft, что нехарактерно для программ-вымогателей. Специалисты установили, что в арсенале HavanaCrypt имеется множество методов проверки того, запущен ли он в виртуальной среде. Для шифрования данных жертв вредонос использует функции менеджера паролей с открытым исходным кодом KeePass Password Safe, а для ускорения процесса шифрования применяется функция QueueUserWorkItem. По мнению специалистов Trend Micro, вредонос находится на стадии разработки, поскольку он не высылает на устройства жертв сообщения с требованием выкупа за расшифровку данных.

HavanaCrypt пополнил список угроз, для распространения которых злоумышленники используют поддельные обновления. За последние несколько месяцев было зафиксировано несколько вредоносных кампаний, в рамках которых осуществлялось распространение шифровальщиков под видом обновлений для Windows 10, Microsoft Exchange и Google Chrome. Создание поддельных обновлений не составляет особого труда для злоумышленников, поэтому они используют такой метод для распространения всех классов вредоносного ПО, включая шифровальщиков-вымогателей, а также программ для кражи данных и слежки.

Что касается HavanaCrypt, то вредонос скомпилирован в .NET, а для обфускации кода он использует инструмент с открытым исходным кодом Obfuscar. После попадания в систему жертвы вредонос проверяет реестр на наличие записи GoogleUpdate и продолжает работать только в случае, если этой записи нет. Далее вредонос проходит четырёхэтапную проверку на определение виртуальной среды. Для этого он проверяет службы, которые обычно используются виртуальными машинами, а также ищет связанные с ними файлы. Кроме того, он сравнивает MAC-адрес заражённой системы с уникальными префиксами идентификаторов, которые обычно используются в настройках виртуальных машин. Если HavanaCrypt определяет, что находится в виртуальной среде, то его работа прекращается.

Если же вирус не распознаёт виртуальную среду, то на следующем этапе он отправляет запрос на сервер управления и получает от него пакетный файл с настройками для Windows Defender, чтобы антивирус не обнаруживал присутствие шифровальщика. Вместе с этим вредонос останавливает работу множества процессов, преимущественно связанных с приложениями для работы с базами данных SQL и MySQL, а также другими приложениями вроде Microsoft Office.

После этого HavanaCrypt удаляет бэкапы и нарушает работоспособность функций, с помощью которых их можно было бы попытаться восстановить. Для шифрования используется код менеджера паролей KeePass, а для ускорения процесса функция QueueUserWorkItem. Код из KeePass применяется для генерации псевдослучайных ключей шифрования. Это делается для того, чтобы усложнить разработку инструмента для дешифровки данных. Использование хостинга Microsoft для размещения сервера управления вредоносом подчёркивает стремление злоумышленников прятать свою инфраструктуру в легитимных сервисах, чтобы избежать обнаружения. Специалисты отмечают, что в настоящее время в облачных пространствах размещается огромное количество вредоносного ПО.

Министерство юстиции США обвинило 55-летнего врача-кардиолога Мойзеса Луиса Загала Гонсалеса (Moises Luis Zagala Gonzalez) из Венесуэлы в создании вирусов-вымогателей Jigsaw и Thanos, получивших широкое распространение несколько лет назад. Американские власти считают, что он продавал и лицензировал шифровальщики хакерам, получал в качестве гонорара часть выкупа от жертв киберпреступников, а также предлагал услуги по техподдержке вредоносного ПО и обучению работе с ним.

Источник изображения: Pixabay

«Многозадачный врач, лечив пациентов, попутно создал и назвал свой киберинструмент в честь смерти, а также зарабатывал на глобальной экосистеме программ-вымогателей, в которой продавал инструменты для проведения атак программ-вымогателей, обучал злоумышленников тому, как вымогать деньги у жертв, а затем хвастался успешными атаками, в том числе со стороны злоумышленников, связанных с правительством Ирана», — говорится в заявлении прокурора США Брион Пис (Breon Peace).

В киберпреступном сообществе Гонсалес известен под псевдонимами Nosophoros, Aesculapius и Nebuchadnezzar. Первым его творением стал вредонос Jigsaw, активность которого не фиксируется с осени 2021 года. Это инструмент использовался злоумышленниками не часто, в том числе потому, что для него был создан бесплатный инструмент дешифровки. По данным Минюста США, на основе первой версии вымогателя был создан вредонос Jigsaw 2.0 с встроенным счётчиком «судного дня» (Doomsday counter), который отслеживал, сколько раз жертва пыталась избавиться от вредоноса. «Если пользователь слишком много раз уничтожает программу-вымогатель, то ясно, что он не будет платить, поэтому лучше стереть весь жёсткий диск», — говорится в описании вредоноса.

Источник изображения: CNews

В 2019 году Гонсалес создал новый продукт под названием Thanos, предположительно названный в честь злодея из вселенной Marvel, который уничтожил половину всего живого во Вселенной. При этом в основе имени Thanos стоит Танатос, олицетворение смерти в греческой мифологии. Новое творение Гонсалеса представляло собой конструктор по созданию вымогательского ПО. Он мог использоваться хакерами для создания собственных вредоносов и распространялся по модели «вымогатель как услуга, RaaS».

По данным американских властей, Гонсалес создал схему монетизации своих вредоносов, предлагая всем заинтересованным сторонам два способа получить доступ к продуктам. Первый вариант предполагал покупку лицензии на использование Thanos по цене от $500. Второй вариант назывался «партнёрской программой» в рамках которой, хакеры передавали Гонсалесу часть средств, полученных при проведении вредоносных кампаний с использованием Thanos.

Интерфейс Thanos / Источник изображения: CNews

Американские власти пытались выйти на след Гонсалеса с начала 2020 года. Расследование шло в течение двух лет и в конечном счёте удалось вычислить родственника хакера, проживающего в США, и чей счёт Гонсалес использовал для получения незаконных доходов. Он и помог правоохранителям установить личность разработчика Thanos. Сейчас Гонсалесу грозит до 10 лет тюремного заключения.

В начале этого года сотрудники ФСБ России провели задержание восьми человек, которые, предположительно, являлись членами хакерской группировки REvil, а также взяли под контроль используемую ими IT-инфраструктуру. Однако некоторое время назад TOR-сайты REvil вернулись в работу, а позднее в сети был обнаружен новый образец вредоносного программного обеспечения, которое использовалось хакерами во время атак.

Источник изображений: Bleeping Computer

Арест предполагаемых участников REvil был проведён по запросу США в рамках сотрудничества в сфере кибербезопасности. Это связано с тем, что основные цели атак хакеров с помощью вымогательского ПО находились в США. Однако после обострения ситуации на Украине американское правительство в одностороннем порядке прекратило сотрудничество и вышло из переговорного процесса по REvil.

Несколько недель назад специалисты в сфере информационной безопасности обратили внимание на то, что используемые ранее TOR-сайты REvil вернулись в работу. При этом на них не было старой информации, они использовались для перенаправления посетителей на URL-адреса, якобы новой хакерской группировки. На тот момент говорить о возвращении REvil было преждевременно, поскольку новые образцы вымогательского ПО хакеров не были выявлены.

Теперь же стало известно, что сотрудник компании Avast Якуб Кроустек (Jakub Kroustek) обнаружил в интернете вирус-вымогатель, который может являться модифицированным шифровальщиком REvil. Отметим, что другие хакерские группировки также использовали шифровальщик REvil в прошлом, но, как правило, они не имели доступа к исходному коду вируса, поэтому не могли самостоятельно его модифицировать.

По мнению ряда специалистов, обнаруженный недавно вредонос скомпилирован из исходного кода REvil, но в нём содержатся изменения. Отмечается, что, хотя номер версии обнаруженного образца 1.0, по сути он является продолжением шифровальщика REvil 2.08, который был создан ещё до прекращения деятельности группировки.

Вернувшиеся в работу сайты REvil перенаправляют посетителей на сайт группировки Sodinokibi, которая, предположительно, является автором модифицированного шифровальщика. Этот сайт во многом схож с тем, что в прошлом использовали хакеры из REvil. Хотя представитель REvil, известный под ником Unknown, пока не выходил на связь, исследователи считают, что один из основных разработчиков вымогателя группировки перезапустил вредоносную кампанию под другим именем. При этом отмечается, что для REvil не свойственно публично заявлять о своём возвращении, поскольку прежде хакеры предпочитали тщательно скрывать свою деятельность.

Специалисты компании Dragos, специализирующейся на вопросах безопасности промышленных систем, обнаружили взаимодействие контролирующих вредоносное ПО серверов с ресурсами нескольких автопроизводителей.

Источник изображения: Gerd Altmann / pixabay.com

Эксперты по кибербезопасности выявили признаки начальной активности программ-вымогателей в производственном секторе. Системы сразу нескольких автопроизводителей, вероятно, оказались заражёнными известным бэкдором Emotet, который обычно используется для последующей установки вымогателей.

Специалисты Dragos обнаружили угрозу, сумев выявить активность управляющих вымогателями серверов, которые обмениваются информацией с ресурсами автопроизводителей. Предполагается, что злоумышленники уже довольно продолжительное время готовятся к широкомасштабной атаке на автомобильную промышленность. На текущий момент фактического присутствия опасных вредоносов в системах североамериканских и японских брендов зафиксировано не было, однако в Dragos считают, что проблема была выявлена на начальной стадии.

«Подозреваем, что управляющие Emotet серверы контролируются группой кибервымогателей Conti», — говорится в заявлении Dragos. Впервые подозрительный трафик был обнаружен в декабре 2021 года, и до марта 2022 года активность не спадала.

На Reddit и официальных форумах Asustor пользователи сетевых хранилищ (NAS) компании начали сообщать о многочисленных случаях атак их накопителей программами-шифровальщиками. Производитель пока не прокомментировал ситуацию. Самый распространённый совет в подобных случаях — это отключиться от Сети и подождать выхода заплатки.

Источник изображения: Asustor

Владельцы заражённых накопителей получили уведомления с требованием выплатить выкуп в размере 0,03 биткоина, что по сегодняшнему курсу составляет около $1150. Атака осуществлялась с помощью зловреда DeadBolt, который в прошлом году использовался также для атаки NAS от QNAP (по другим источникам те были атакованы шифровальщиком Qlocker). Пользователь, оплативший выкуп по уникальной для каждого ссылке, получал ключ для дешифровки данных.

Интересно отметить, что компания QNAP получила в своё время от злоумышленников предложение купить универсальный дешифрующий ключ за 50 биткоинов (1,85 млн) и данные об уязвимости за пять биткоинов ($184 000). Компании Asustor подобные предложения не поступали. Во всяком случае, в публичном пространстве информации об этом нет.

На форумах сложилось мнение, что DeadBolt получил доступ к NAS через утилиту Asustor EZ Connect, которая позволяет пользователям подключаться к своим NAS-системам из любой точки мира. Поэтому в качестве меры профилактики появилось предложение отключить EZ Connect, автоматические обновления, SSH, заблокировать все порты NAS на маршрутизаторе и разрешить подключение только из локальной сети.

Отсутствие официальной реакции Asustor не позволяет понять, какие из моделей NAS оказались уязвимы. Судя по сообщениям пользователей, модели AS6602T, AS-6210T-4K, AS5304T, AS6102T и AS5304T избежали печальной участи, а хранилища AS5304T, AS6404T, AS5104T и AS7004T были заражены.

Согласно недавно опубликованному исследованию Chainalysis, в прошлом году около 74 % всех доходов от программ-вымогателей или примерно $400 млн были получены злоумышленникам, прямо или косвенно связанными с Россией.

Источник изображения: Pixabay

Для оценки национальной принадлежности хакеров, принимавших участие в атаках программ-вымогателей, исследователи использовали несколько признаков. На «большую вероятность какой-либо связи с Россией» могли указывать несколько признаков. Одним из наиболее очевидных была принадлежность к EvilCorp — группировке киберпреступников, которую на Западе давно считают российской.

Ещё одним критерием, который, по мнению исследователей, говорит в пользу принадлежности хакеров к России, является присутствие в коде шифровальщиков фрагментов, запрещающих нападать на компьютеры в странах, входящих в Содружество Независимых Государств (СНГ). «Многие штаммы программ-вымогателей содержат код, который предотвращает шифрование файлов, если обнаруживает, что операционная система жертвы находится в стране СНГ», — говорится в отчёте Chainalysis. В других случаях киберпреступники сразу предоставляли организациям из СНГ дешифраторы вместо требования выкупа.

Третьим признаком принадлежности являлся язык той или иной программы-вымогателя, а также настройки для конкретного местоположения и другие индикаторы, связывающие группы получателей выкупа с Россией. По словам исследователей, анализ блокчейна в сочетании с данными веб-трафика указывает на то, что доходы от выкупа часто проходили через сервисы, предназначенные для российских пользователей.

«В целом примерно 74 % доходов от программ-вымогателей в 2021 году — криптовалюта на сумму более $400 млн — пришлось на вымогатели, которые с большой вероятностью каким-то образом связаны с Россией», — сообщили исследователи Chainalysis. 26,4 % доходов от программ-вымогателей отвечали критерию избегания атак на страны СНГ, 9,9 % доходов пришлось на EvilCorp, а 36,4 % имели другие русскоязычные признаки.

Военные США впервые признали, что Пентагон предпринимает наступательные действия против группировок хакеров-вымогателей. Об этом заявил в минувшую субботу глава Киберкомандования США и директор Агентства национальной безопасности генерал Пол Накасоне (Paul M. Nakasone) в кулуарах Форума национальной обороны имени Рейгана в Сими-Вэлли (штат Калифорния).

Источник изображения: Pixabay

Генерал отметил, что девять месяцев назад правительство возложило на правоохранительные органы ответственность за противодействие хакерским атакам с использованием программ-вымогателей. Однако атаки на Colonial Pipeline и JBS Beef Factory показали, что стоящие за ними преступные организации «влияют на критически важную инфраструктуру». Поэтому правительство США приняло более агрессивный совместный подход к этой угрозе, отказавшись от своей прежней позиции невмешательства. Киберкомандование, АНБ и другие правительственные агентства США теперь выделяют ресурсы на сбор разведданных о группах программ-вымогателей и делятся своими знаниями с государственными и международными партнёрами.

Генерал Накасоне не объяснил, какие именно действия были предприняты по его приказу, или какая группа вымогателей стала мишенью. Но он сказал, что одной из целей было «заставить платить по счетам» — термин, используемый военными для описания дисциплинарных киберопераций.

В сентябре силы Киберкомандования США перенаправляли трафик с серверов, используемые хакерской группой вымогателей REvil, которую на Западе связывают с Россией, заявили официальные лица, проинформированые об операции. Операция была проведена после того, как правительственные хакеры-союзники взломали сервер REvil, что затруднило группировке сбор выкупа. После этого группировка REvil на время пропала из виду.

Правоохранители из разных стран продолжают борьбу с хакерами из REvil. Ранее сообщалось о задержании семи человек, которые, как предполагается, связаны с группировкой. Теперь же обвинения были предъявлены гражданину Украины Ярославу Васинскому, задержанному в Польше. Его обвиняют в участии в множестве кибератак, в том числе на американскую IT-компанию Kaseya.

Источник изображения: B_A / Pixabay

Согласно имеющимся данным, Васинского задержали в Польше ещё в октябре этого года, а обвинения в киберпреступлениях со стороны США были выдвинуты в августе. Теперь ему грозит экстрадиция в США, где хакер предстанет перед судом. Вместе с этим, правоохранителям удалось арестовать финансовые активы, которые, как предполагается, принадлежали REvil.

Министерство юстиции (DOJ) США объявило о конфискации $6,1 млн в криптовалюте на бирже FTX, которые, по мнению правоохранителей, связаны с REvil. Активы принадлежали гражданину России Евгению Полянину, которому США также предъявили обвинения в сотрудничестве с REvil с целью осуществления атак на корпоративные и государственные объекты. Отмечается, что Полянин находится в розыске.

В обвинительных заключениях прямо не указывается на то, какую роль играли Васинский и Полянин в атаках хакеров REvil. Они обвиняются в сотрудничестве с киберпреступниками. Минюст отмечает, что Васинскому и Полянину грозит более 100 лет тюрьмы, если они будут осуждены по всем предъявленным обвинениям. Власти США намерены продолжить поимку хакеров, которые использовали вымогательское ПО против американских компаний и государственных организаций. На прошлой неделе было объявлено о вознаграждении в $10 млн, которое можно получить за информацию, способствующую аресту членов группировки DarkSide.

Европол объявил об аресте семи подозреваемых, которые, как предполагается, являются аффилированными лицами хакеров из группировки REvil и принимали участие в проведении более 7 тыс. кибератак с начала 2019 года. Согласно имеющимся данным, задержания проходили в Румынии, Польше, Южной Корее и Кувейте.

Изображение: Европол

Источник говорит, что несколько человек из числа задержанных связаны с шифровальщиком-вымогателем GandCrab, разработчики которого, по мнению правоохранителей, присоединились к группировке REvil. Хакеры из REvil и операторы GandCrab сдавали в аренду вымогательское программное обеспечение другим группировкам, которые принято называть «аффилированными лицами». Они организовывали атаки и делили прибыль с разработчиками вредоносного ПО REvil и GandCrab.

Европол утверждает, что семеро задержанных в период с 2019 года участвовали в проведении многочисленных кибератак, в ходе которых сумма выкупа за расшифровку данных суммарно составила около $230 млн. С февраля этого года ведомство сотрудничало с работающими в сфере информационной безопасности компаниями, такими как Bitdefender, KPN и McAfee, чтобы арестовать членов аффилированных группировок.

Серии арестов предшествовали заявления западных стран во главе с США, которые обещали принять беспрецедентные меры для борьбы с хакерами, занимающимися распространением вымогательского ПО. Решение преследовать операторов программ-вымогателей было принято после серии громких атак, в ходе одной их которых в мае этого года была парализована работа одного из крупнейших американских операторов трубопровода Colonial Pipeline. Компания Bitdefender, которая принимала активное участие в борьбе с хакерами из REvil, ранее в этом году выпустила универсальный дешифратор, который может использоваться жертвами хакерской группировки для восстановления данных.