Теги → вымогательское по
Быстрый переход

Пентагон признал участие в борьбе против группировок хакеров-вымогателей

Военные США впервые признали, что Пентагон предпринимает наступательные действия против группировок хакеров-вымогателей. Об этом заявил в минувшую субботу глава Киберкомандования США и директор Агентства национальной безопасности генерал Пол Накасоне (Paul M. Nakasone) в кулуарах Форума национальной обороны имени Рейгана в Сими-Вэлли (штат Калифорния).

Источник изображения: Pixabay

Источник изображения: Pixabay

Генерал отметил, что девять месяцев назад правительство возложило на правоохранительные органы ответственность за противодействие хакерским атакам с использованием программ-вымогателей. Однако атаки на Colonial Pipeline и JBS Beef Factory показали, что стоящие за ними преступные организации «влияют на критически важную инфраструктуру». Поэтому правительство США приняло более агрессивный совместный подход к этой угрозе, отказавшись от своей прежней позиции невмешательства. Киберкомандование, АНБ и другие правительственные агентства США теперь выделяют ресурсы на сбор разведданных о группах программ-вымогателей и делятся своими знаниями с государственными и международными партнёрами.

Генерал Накасоне не объяснил, какие именно действия были предприняты по его приказу, или какая группа вымогателей стала мишенью. Но он сказал, что одной из целей было «заставить платить по счетам» — термин, используемый военными для описания дисциплинарных киберопераций.

В сентябре силы Киберкомандования США перенаправляли трафик с серверов, используемые хакерской группой вымогателей REvil, которую на Западе связывают с Россией, заявили официальные лица, проинформированые об операции. Операция была проведена после того, как правительственные хакеры-союзники взломали сервер REvil, что затруднило группировке сбор выкупа. После этого группировка REvil на время пропала из виду.

В Польше задержан предполагаемый член хакерской группировки REvil

Правоохранители из разных стран продолжают борьбу с хакерами из REvil. Ранее сообщалось о задержании семи человек, которые, как предполагается, связаны с группировкой. Теперь же обвинения были предъявлены гражданину Украины Ярославу Васинскому, задержанному в Польше. Его обвиняют в участии в множестве кибератак, в том числе на американскую IT-компанию Kaseya.

Источник изображения: B_A / Pixabay

Источник изображения: B_A / Pixabay

Согласно имеющимся данным, Васинского задержали в Польше ещё в октябре этого года, а обвинения в киберпреступлениях со стороны США были выдвинуты в августе. Теперь ему грозит экстрадиция в США, где хакер предстанет перед судом. Вместе с этим, правоохранителям удалось арестовать финансовые активы, которые, как предполагается, принадлежали REvil.  

Министерство юстиции (DOJ) США объявило о конфискации $6,1 млн в криптовалюте на бирже FTX, которые, по мнению правоохранителей, связаны с REvil. Активы принадлежали гражданину России Евгению Полянину, которому США также предъявили обвинения в сотрудничестве с REvil с целью осуществления атак на корпоративные и государственные объекты. Отмечается, что Полянин находится в розыске.

В обвинительных заключениях прямо не указывается на то, какую роль играли Васинский и Полянин в атаках хакеров REvil. Они обвиняются в сотрудничестве с киберпреступниками. Минюст отмечает, что Васинскому и Полянину грозит более 100 лет тюрьмы, если они будут осуждены по всем предъявленным обвинениям. Власти США намерены продолжить поимку хакеров, которые использовали вымогательское ПО против американских компаний и государственных организаций. На прошлой неделе было объявлено о вознаграждении в $10 млн, которое можно получить за информацию, способствующую аресту членов группировки DarkSide.

Европол арестовал семь подозреваемых в связях с хакерами из REvil

Европол объявил об аресте семи подозреваемых, которые, как предполагается, являются аффилированными лицами хакеров из группировки REvil и принимали участие в проведении более 7 тыс. кибератак с начала 2019 года. Согласно имеющимся данным, задержания проходили в Румынии, Польше, Южной Корее и Кувейте.

Изображение: Европол

Изображение: Европол

Источник говорит, что несколько человек из числа задержанных связаны с шифровальщиком-вымогателем GandCrab, разработчики которого, по мнению правоохранителей, присоединились к группировке REvil. Хакеры из REvil и операторы GandCrab сдавали в аренду вымогательское программное обеспечение другим группировкам, которые принято называть «аффилированными лицами». Они организовывали атаки и делили прибыль с разработчиками вредоносного ПО REvil и GandCrab.

Европол утверждает, что семеро задержанных в период с 2019 года участвовали в проведении многочисленных кибератак, в ходе которых сумма выкупа за расшифровку данных суммарно составила около $230 млн. С февраля этого года ведомство сотрудничало с работающими в сфере информационной безопасности компаниями, такими как Bitdefender, KPN и McAfee, чтобы арестовать членов аффилированных группировок.

Серии арестов предшествовали заявления западных стран во главе с США, которые обещали принять беспрецедентные меры для борьбы с хакерами, занимающимися распространением вымогательского ПО. Решение преследовать операторов программ-вымогателей было принято после серии громких атак, в ходе одной их которых в мае этого года была парализована работа одного из крупнейших американских операторов трубопровода Colonial Pipeline. Компания Bitdefender, которая принимала активное участие в борьбе с хакерами из REvil, ранее в этом году выпустила универсальный дешифратор, который может использоваться жертвами хакерской группировки для восстановления данных.

В результате международной операции спецслужбы нейтрализовали группировку хакеров-вымогателей REvil

Согласно данным ряда экспертов в области киберпреступности, сотрудничающих с правительством США, на этой неделе в нескольких странах прошла международная операция, в результате которой были взломаны серверы хакерской группировки REvil. После этого хакеры REvil, использовавшие шифровальщик-вымогатель для блокирования компьютерных систем компаний, были вынуждены свернуть свою деятельность.

bbc.com

bbc.com

Преступная группировка стояла за кибератакой, проведенной в мае на системы американской трубопроводной компании Colonial Pipeline, которая привела к перебоям с поставкой топлива на восточном побережье США. Официальные лица заявили, что при атаке на Colonial использовалось программное обеспечение для шифрования DarkSide, которое было разработано партнёрами REvil.

Том Келлерманн (Tom Kellermann), руководитель департамента по разработке стратегии кибербезопасности компании VMware, сообщил, что правоохранительные органы и спецслужбы не позволили хакерам-вымогателям продолжать охоту на компании.

«ФБР вместе с киберкомандованием, секретной службой и странами-единомышленниками действительно предприняли серьёзные подрывные действия против этих групп, — рассказал Келлерманн, также являющийся советником Секретной службы США по расследованию киберпреступлений. — REvil была первой в списке».

Один из предположительных лидеров группировки, известный под ником «0_neday», который помог перезапустить работу хакеров после предыдущего отключения, сообщил на форуме в минувшие выходные, что серверы REvil были взломаны неназванной стороной. «Всем удачи. Я выхожу из игры», — добавил он.

Шифровальщик REvil приостановил работу после того, как неизвестный взломал сервера хакеров

По сообщениям сетевых источников, хакерская группировка REvil вновь приостановила свою деятельность. Согласно имеющимся данным, это произошло после того, как неизвестный человек взломал сайт, который хакеры использовали для приёма платежей от жертв и публикации украденных в ходе атак данных.

Изображение: Bleeping Computer

Изображение: Bleeping Computer

Все Tor-сайты REvil перестали функционировать, а связанный с группировкой человек сообщил на форуме XSS, что неизвестный захватил контроль над сайтами хакеров. На этот пост обратил внимание ИБ-специалист Дмитрий Смилянец, работающий в компании Recorded Future. Для взлома использовались закрытые ключи и, по всей видимости, неизвестный имел доступ к резервным копиям ресурсов REvil.

«Поскольку сегодня, 17.10 с 12:00 по московскому времени, кто-то поднял скрытые сервисы лендинга и блог с такими же ключами, как у нас, мои опасения подтвердились. У третьей стороны есть резервные копии с ключами от onion-сервисов», — говорится в сообщении пользователя с ником 0_neday, которое было оставлено на форуме XSS.

Изображение: Bleeping Computer

Изображение: Bleeping Computer

Он также добавил, что признаков взлома подконтрольных ему серверов обнаружено не было, но работа вымогательского программного обеспечения REvil будет прекращена. Злоумышленник сообщил, что партнёрам REvil следует связаться с оператором вредоносного ПО для получения ключей дешифрования, чтобы они могли продолжить свою деятельность, связанную с распространением вымогательского ПО. Позднее 0_neday оставил новое сообщение, в котором говорилось, что сервер хакеров скомпрометирован. На данный момент неизвестно, кто именно стоит за атакой на серверы и сайты хакеров из REvil.

В Киеве арестовали хакерскую группу, нанёсшую ущерб в 150 млн долларов

Официальный сайт киберполиции Украины сообщил о задержании хакера, виновного в организации атак с использованием вируса-вымогателя на более 100 зарубежных компаний, и нанёсшего ущерб более $150 млн. Также был задержан его сообщник, который помогал «отмывать деньги», добытые преступным путём.

cyberpolice.gov.ua

cyberpolice.gov.ua

25-летний хакер был арестован 28 сентября в Киеве в рамках международной спецоперации Департамента киберполиции Украины, проводившейся совместно со следователями столичного главка, представителями Киевской городской прокуратуры с привлечением сотрудников Интерпола и Европола, французской жандармерии и ФБР.

В ходе спецоперации были проведены обыски по месту жительства фигуранта и в домах его близких. Полицейские изъяли компьютерную технику, используемую для доступа к удалённым серверам, с которых была развернута программа-вымогатель, мобильные телефоны, два автомобиля стоимостью €217 000 и $375 000 долларов наличными. Кроме этого, на криптокошельках злоумышленника было заблокировано $1,3 млн в криптовалюте.

cyberpolice.gov.ua

cyberpolice.gov.ua

Как сообщается на сайте Европола, организованная преступная группа подозревается в совершении серии целевых атак на крупные промышленные группы в Европе и Северной Америке, проводившихся с апреля 2020 года.

Вирусное программное обеспечение поступало на вычислительные системы корпораций путём взлома программы для удалённой работы пользователя с компьютером (сервером), а также через спам-рассылки на корпоративные электронные почтовые ящики писем с вредоносным содержимым.

Прежде чем зашифровать файлы, преступники похищали конфиденциальные данные у этих компаний. Затем они предлагали ключ для дешифровки в обмен на выкуп в размере нескольких миллионов евро (от €5 до €70 млн), угрожая утечкой украденных данных в даркнет, если их требования не будут выполнены.

Следственные действия продолжаются. Арестованным грозит до 12 лет лишения свободы с конфискацией имущества.

Жертвы вымогательского ПО хакеров из REvil могут бесплатно восстановить зашифрованные данные

Румынская компания Bitdefender, работающая в сфере информационной безопасности, в сотрудничестве с правоохранительными органами разработала дешифратор, который позволит всем жертвам группировки REvil бесплатно восстановить зашифрованные данные. Хотя Bitdefender не раскрыла информацию касательно того, каким образом у компании оказался ключ для дешифровки, её представители заявили, что созданный ими инструмент позволяет восстановить данные, которые были зашифрованы до 13 июля.

Изображение: Bleeping Computer

Изображение: Bleeping Computer

«Как указано в нашем блоге, мы получили ключи от надёжного партнёра из правоохранительных органов, и, к сожалению, это единственная информация, которую мы можем раскрыть в настоящее время», — приводит источник слова Богдана Ботезату (Bogdan Botezatu), главы отдела исследования угроз и отчётности в Bitdefender. Он также отметил, что подробности связанного с хакерами из REvil дела могут быть раскрыты после завершения расследования со стороны правоохранительных органов.

Изображение: Bleeping Computer

Изображение: Bleeping Computer

В настоящее время жертвы REvil, чьи данные были зашифрованы до 13 июля, могут скачать дешифратор с официального веб-сайта Bitdefender и выполнить расшифровку всех данных или каких-то конкретных папок и файлов. Источник отмечает, что данный инструмент был протестирован и доказал свою работоспособность.

Вероятнее всего, правоохранительным органам удалось скомпрометировать серверы REvil, в результате чего и был получен доступ к ключу для дешифровки данных. Хакеры из REvil начали активную деятельность в 2019 году и с тех пор провели массу успешных атак, от которых пострадали компании из разных стран мира. Последняя масштабная кампания REvil связана с атакой на сервис удалённого администрирования VSA компании Kaseya, который в результате стал каналом распространения вымогательского ПО и нанёс ущерб около 1500 компаний по всему миру. Атака на сервис VSA была проведена 2 июля, а уже 13 июля хакеры неожиданно свернули свою деятельность и до недавнего времени не проявляли какой-либо активности.

Учёные разработали 100-процентную защиту от вирусов-шифровальщиков для SSD

Команда южнокорейских и американских исследователей разработала систему защиты данных на SSD, спасающую от атак программ-шифровальщиков и позволяющую немедленно восстанавливать данные. Система SSD-Insider++ позволяет «отменять» неожиданные попытки шифрования в течение считанных секунд.

techradar.com

techradar.com

По мнению исследователей, сама технология NAND-памяти позволяет легко восстановить данные благодаря её природе «отложенного удаления» информации. Концепция SSD-Insider++ предусматривает оценку моделей активности накопителей в случае атак программ-шифровальщиков, используемых злоумышленниками для вымогательства средств в обмен на ключ для дешифровки данных. Вместо защиты программными средствами система полагается непосредственно на само устройство — защита осуществляется ещё на уровне контроллера с помощью специальной прошивки. По словам исследователей, идея защиты на уровне прошивки пришла потому, что большинство пользователей не заботятся об установке ПО для борьбы с программами-вымогателями. Таким образом, SSD буквально займутся самообороной.

Как только зарегистрирована активность программы-вымогателя, приостанавливается ввод/вывод данных и в это время пользователь может отменить процесс шифрования. При этом уже зашифрованные данные восстанавливаются в течение нескольких секунд.

В результате тестов технология справилась со 100 % лабораторных и реальных образцов программ-вымогателей, а информация восстанавливалась в течение максимум 10 секунд с момента начала шифрования. Цена такой функциональности — рост задержек работы на 12,8-17,3 %, что с лихвой компенсируется высоким уровнем безопасности.

Главной отличительной чертой технологии является именно её использование на уровне прошивки — другими словами, соответствующую функциональность в теории можно добавить даже уже использующимся SSD без модификации самого железа. Впрочем, для некоторых дополнительных функций потребуется больше вычислительных мощностей.

При этом идея надёжной защиты от программ-вымогателей за счёт сравнительно небольшого снижения производительности не вызвала восторга у вендоров. По данным учёных, предложения были сделаны нескольким компаниям в Южной Корее, но ни одна из них не выразила готовности применять технологию.

Хотя SSD-Insider++ разрабатывалась специально для SSD, потенциально её вариации можно использовать и для накопителей других типов, за исключением традиционных HDD. При этом возможно использование с относительно новыми HDD c записью SMR-типа (Shingled Magnetic Recording).

Хакерская группировка REvil вернулась в даркнет после отсутствия в течение нескольких недель

По сообщениям сетевых источников, хакерская группировка REvil, получившая известность после серии масштабных атак с использованием программ-вымогателей, вернулась в даркнет. Связанные с REvil серверы и сайты неожиданно перестали работать в середине лета, но сейчас они снова функционируют.

Изображение: Bloomberg

Изображение: Bloomberg

Напомним, ещё в недалёком прошлом группировка REvil занималась организацией кампаний по распространению программ-вымогателей. На Западе хакеров из REvil связывают с Россией и приписывают им многочисленные кибератаки против сотен американских компаний и организаций.

Хакеры ведут сайт под названием Happy Blog, на котором публикуются образцы данных, украденных у разных компаний до блокировки внутренних сетей с помощью программ-вымогателей. Сайт используется для того, чтобы убедить жертв выплатить выкуп и получить ключ для расшифровки данных. Ресурс, который используется для ведения переговоров с жертвами, вновь функционирует, хотя информации о новых атаках REvil на данный момент нет.

На это обратили внимание специалисты компании CrowdStrike, работающей в сфере информационной безопасности. Эксперты считают, что хакеры взяли паузу в середине июля, чтобы связанная с ними шумиха поутихла. За это время они могли перестроить используемую инфраструктуру и подготовиться к проведению новых вредоносных кампаний.

«Обычно хакерские группы берут летний перерыв, поэтому мы наблюдаем некоторое затишье. Этот год ничем не отличается от предыдущих: летом наблюдается затишье в активности финансово мотивированных программ-вымогателей. Я ещё не заметил значительного всплеска, но сейчас начинается период, когда злоумышленники возвращаются из отпусков и снова приступают к работе», — сказал директор по технологиям компании BreachQuest Джейк Уильямс (Jake Williams).

window-new
Soft
Hard
Тренды 🔥
В Steam и на консолях Xbox стартовала временная демоверсия Nobody Saves the World 43 мин.
Google Chrome начал терять пользователей — они переходят на Microsoft Edge 51 мин.
Тактическая ролевая игра Expeditions: Rome поступит в продажу 20 января для Steam 2 ч.
343 Industries объяснила отсутствие выбора миссий в Halo Infinite и пообещала добавить опцию после релиза 2 ч.
Google превращает Gmail в мессенджер — в почтовом приложении появятся голосовые и видеозвонки 2 ч.
Слухи: следующее дополнение к Assassin's Creed Valhalla выпустят до конца месяца 3 ч.
Intel представила огромные наборы данных, которые обучение ИИ распознаванию речи 3 ч.
Сборник Uncharted: Legacy of Thieves Collection получил точную дату выхода на PS5 — 28 января 2022 года 3 ч.
Олдскульный шутер Serious Sam 4 неожиданно вышел на консолях PlayStation и Xbox нового поколения 3 ч.
PS4 больше не выдержит: авторы Marvel's Spider-Man объяснили отсутствие костюмов по «Нет пути домой» в старой версии игры 5 ч.