Заместитель генерального прокурора США Лиза Монако объявила о возвращении миллионов долларов в криптовалюте в результате атак программ-вымогателей Colonial Pipeline Co во время выступления на пресс-конференции с заместителем директора ФБР Полом Абэйтом и исполняющей обязанности представителя США в Северном округе Калифорнии Стефани Хайндс в Министерстве юстиции в Вашингтоне, 7 июня 2021 г.
Джонатан Эрнст | Рейтер
По словам трех частных киберэкспертов, работающих с США, и одного бывшего чиновника, на этой неделе сама группа вымогателей REvil была взломана и вынуждена выйти в Интернет в результате операции в нескольких странах.
Возглавляемая Россией преступная группировка была ответственна за кибератаку в мае на колониальный трубопровод, которая привела к ее широкому распространению. Дефицит газа на восточном побережье США. «Счастливый блог» REvil, который использовался для утечки данных жертв и вымогательства у компаний, больше не доступен.
Официальные лица заявили, что при атаке Colonial использовалось программное обеспечение для шифрования DarkSide, разработанное REvil Partners.
Том Келлерман, руководитель стратегии кибербезопасности в VMWare, сказал, что сотрудники правоохранительных органов и разведки не позволили группе нанести ущерб другим компаниям.
«ФБР вместе с Киберкомандованием, Секретной службой и единомышленниками действительно участвовали в серьезных актах саботажа против этих групп», — сказал Келлерман, советник Секретной службы США по расследованию киберпреступлений. «REvil был на вершине списка».
Ведущий деятель, известный как «0_neday», который помог перезапустить работу группы после более раннего отключения, сказал, что серверы REvil были взломаны неназванной стороной.
«Сервер был взломан, они искали меня», — написал 0_neday на форуме по киберпреступности в минувшие выходные, и его увидела охранная фирма Recorded Future. «Удачи всем, я ухожу».
Попытки правительства США остановить REvil, одну из десятков банд программ-вымогателей, работающих с хакерами для проникновения и парализации компаний по всему миру, усилились после того, как группа нанесла удар по США. Компания по разработке программного обеспечения для управления кассетами в июле.
Этот взлом открыл доступ сразу к сотням клиентов Kaseya, что привело к многочисленным звонкам в службу экстренной помощи при инцидентах в Интернете.
ключ дешифрования
После атаки Касеи ФБР получило глобальный ключ дешифрования, который позволил инфицированным Касеей людям восстановить свои файлы без уплаты выкупа.
Но сотрудники правоохранительных органов первоначально удерживали ключ в течение нескольких недель, так как это было Тихо гоняюсь за REvilПозже это признало ФБР.
По словам трех человек, знакомых с этим вопросом, специалисты правоохранительных органов и киберразведки смогли взломать инфраструктуру компьютерной сети REvil, взяв под контроль по крайней мере некоторые из их серверов.
После того, как в июле веб-сайты, которые использовала хакерская группа, были отключены, главный представитель группы, назвавший себя «Неизвестный», исчез из Интернета.
Когда член банды 0_neday и другие восстановили эти сайты из резервной копии в прошлом месяце, он неосознанно перезагрузил некоторые внутренние системы, которые уже находились под контролем правоохранительных органов.
«Банда вымогателей REvil восстанавливала инфраструктуру из резервных копий, предполагая, что она не была взломана», — сказал Олег Сколкин, вице-президент лаборатории судебной экспертизы российской компании по безопасности Group-IB. По иронии судьбы, предпочтительная тактика банды — торговаться за резервные копии — обернулась против них.
Надежные резервные копии являются одним из наиболее важных средств защиты от атак программ-вымогателей, но они должны оставаться неподключенными к основным сетям, иначе они могут быть зашифрованы вымогателями, такими как REvil.
Представитель Совета национальной безопасности Белого дома отказался комментировать конкретно операцию.
«В целом, мы предпринимаем все усилия правительства по вымогательству, в том числе разрушаем инфраструктуру и участников вымогателей, работаем с частным сектором над модернизацией нашей защиты и создаем международную коалицию, чтобы привлечь к ответственности страны, вымогающие вымогателей», — сказал этот человек. .
В ФБР от комментариев отказались.
Человек, знакомый с событиями, сказал, что иностранный партнер правительства США осуществил хакерскую операцию, которая проникла в компьютерную инфраструктуру REvil. Бывший чиновник США, который говорил на условиях анонимности, сказал, что операция все еще продолжается.
Келлерман сказал, что успех связан с решимостью заместителя генерального прокурора США Лизы Монако, что атаки программ-вымогателей на критически важные объекты инфраструктуры должны рассматриваться как проблема национальной безопасности, аналогичная терроризму.
В июне главный заместитель генерального прокурора Джон Карлин сообщил агентству Рейтер, что Министерство юстиции Обновление расследований атак программ-вымогателей к тому же приоритету.
Келлерман сказал, что такие действия дали Министерству юстиции и другим ведомствам правовую основу для получения помощи от американских спецслужб и Министерства обороны.
«Раньше эти форумы нельзя было взломать, а военные не хотели иметь с ними ничего общего. С тех пор перчатки сошли с ума».
«Интроверт. Мыслитель. Решатель проблем. Злой специалист по пиву. Склонен к приступам апатии. Эксперт по социальным сетям».
More Stories
Bombardier добился освобождения Канады от санкционированного российского титана
Hugo Boss продает российский бизнес Stockmann
Американские СМИ сообщили, что российская экономика растет, несмотря на западные санкции — online.ua — AMP