Правительства превращают банду программ-вымогателей REvil в офлайн

34
ФБР предупреждает о фишинге, нацеленном на клиентов известных брендов

Группа программ-вымогателей REvil на этой неделе была взломана и отключена в результате операции в нескольких странах, по словам трех киберэкспертов частного сектора, работающих с США, и одного бывшего чиновника.

Бывшие партнеры и сообщники возглавляемой Россией преступной группировки несут ответственность за майскую кибератаку на Колониальный трубопровод, которая привела к повсеместной нехватке газа на восточном побережье США. Прямые жертвы REvil — это ведущий производитель мяса JBS. Сайт преступной группировки «Счастливый блог», который использовался для утечки данных о жертвах и вымогательства у компаний, больше не доступен.

Официальные лица заявили, что в атаке Colonial использовалось программное обеспечение для шифрования под названием DarkSide, которое было разработано партнерами REvil.

Глава VMWare по стратегии кибербезопасности Том Келлерманн сказал, что сотрудники правоохранительных органов и разведки не позволили группе преследовать другие компании.

«ФБР вместе с Киберкомандованием, Секретной службой и странами-единомышленниками действительно предприняло серьезные подрывные действия против этих групп, — сказал Келлерманн, советник Секретной службы США по расследованию киберпреступлений. список.»

Один из лидеров, известный как «0_neday», который помог перезапустить работу группы после предыдущего отключения, сказал, что серверы REvil были взломаны неназванной стороной.

«Сервер был взломан, и они искали меня», — написал 0_neday на форуме по киберпреступности в минувшие выходные и впервые был замечен охранной фирмой Recorded Future. «Удачи всем, я ухожу».

Попытки правительства США остановить REvil, одну из самых ужасных из десятков банд вымогателей, которые работают с хакерами, чтобы проникнуть в компании по всему миру и парализовать их, усилились после того, как в июле группа взломала американскую компанию по управлению программным обеспечением Kaseya.

Это нарушение открыло доступ сразу к сотням клиентов Kaseya, что привело к многочисленным звонкам в службу реагирования на киберинциденты.

КЛЮЧ ДЛЯ РАСШИФРОВКИ

После атаки на Касею ФБР получило универсальный ключ дешифрования, который позволял инфицированным через Касею восстановить свои файлы без уплаты выкупа.

Но сотрудники правоохранительных органов первоначально скрывали ключ в течение нескольких недель, поскольку они незаметно преследовали сотрудников REvil, как позже признало ФБР.

По словам трех человек, знакомых с этим вопросом, кибер-специалисты правоохранительных органов и разведки смогли взломать инфраструктуру компьютерной сети REvil, получив контроль по крайней мере над некоторыми из своих серверов.

После того, как в июле веб-сайты, которые хакерская группа использовала для ведения бизнеса, отключились, главный представитель группы, называющий себя «Неизвестный», исчез из Интернета.

Когда член банды 0_neday и другие восстановили эти веб-сайты из резервной копии в прошлом месяце, он неосознанно перезапустил некоторые внутренние системы, которые уже находились под контролем правоохранительных органов.

«Банда вымогателей REvil восстановила инфраструктуру из резервных копий, предположив, что они не были взломаны», — сказал Олег Скулкин, заместитель начальника лаборатории криминалистической экспертизы российской компании по обеспечению безопасности Group-IB. «По иронии судьбы, излюбленная тактика банды — компрометация резервных копий — была обращена против них».

Надежные резервные копии являются одним из наиболее важных средств защиты от атак программ-вымогателей, но они должны быть отключены от основных сетей, иначе они также могут быть зашифрованы вымогателями, такими как REvil.

Представитель Совета национальной безопасности Белого дома отказался комментировать операцию конкретно.

«В целом, мы предпринимаем целые правительственные усилия по вымогательству, включая нарушение инфраструктуры и участников вымогателей, работаем с частным сектором над модернизацией нашей защиты и создаем международную коалицию, чтобы привлечь к ответственности страны, укрывающие вымогателей», — сказал этот человек. .

В ФБР от комментариев отказались.

Один человек, знакомый с событиями, сказал, что иностранный партнер правительства США осуществил хакерскую операцию, которая проникла в компьютерную архитектуру REvil. Бывший чиновник США, который говорил на условиях анонимности, сказал, что операция все еще продолжается.

По словам Келлерманна, успех стал результатом решения заместителя генерального прокурора США Лизы Монако о том, что атаки программ-вымогателей на критически важные объекты инфраструктуры должны рассматриваться как проблема национальной безопасности, аналогичная терроризму.

В июне заместитель генерального прокурора Джон Карлин сообщил агентству Рейтер, что министерство юстиции уделяет аналогичное внимание расследованию атак с использованием программ-вымогателей.

По словам Келлерманна, такие действия дали Министерству юстиции и другим ведомствам законную основу для получения помощи от американских спецслужб и Министерства обороны.

«Раньше на эти форумы нельзя было взломать, и военные не хотели иметь с этим ничего общего. С тех пор перчатки оторвались».

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here