27 декабря, 2024

SolusNews.com

Последние новости

Правительства нацелены на банду вымогателей REvil, отключите ее

Правительства нацелены на банду вымогателей REvil, отключите ее

Заместитель генерального прокурора США Лиза Монако объявила о возвращении миллионов долларов в криптовалюте в результате атак программ-вымогателей Colonial Pipeline Co во время выступления на пресс-конференции с заместителем директора ФБР Полом Абэйтом и исполняющей обязанности представителя США в Северном округе Калифорнии Стефани Хайндс в Министерстве юстиции в Вашингтоне, 7 июня 2021 г.

Джонатан Эрнст | Рейтер

По словам трех частных киберэкспертов, работающих с США, и одного бывшего чиновника, на этой неделе сама группа вымогателей REvil была взломана и вынуждена выйти в Интернет в результате операции в нескольких странах.

Возглавляемая Россией преступная группировка была ответственна за кибератаку в мае на колониальный трубопровод, которая привела к ее широкому распространению. Дефицит газа на восточном побережье США. «Счастливый блог» REvil, который использовался для утечки данных жертв и вымогательства у компаний, больше не доступен.

Официальные лица заявили, что при атаке Colonial использовалось программное обеспечение для шифрования DarkSide, разработанное REvil Partners.

Том Келлерман, руководитель стратегии кибербезопасности в VMWare, сказал, что сотрудники правоохранительных органов и разведки не позволили группе нанести ущерб другим компаниям.

«ФБР вместе с Киберкомандованием, Секретной службой и единомышленниками действительно участвовали в серьезных актах саботажа против этих групп», — сказал Келлерман, советник Секретной службы США по расследованию киберпреступлений. «REvil был на вершине списка».

Ведущий деятель, известный как «0_neday», который помог перезапустить работу группы после более раннего отключения, сказал, что серверы REvil были взломаны неназванной стороной.

«Сервер был взломан, они искали меня», — написал 0_neday на форуме по киберпреступности в минувшие выходные, и его увидела охранная фирма Recorded Future. «Удачи всем, я ухожу».

Попытки правительства США остановить REvil, одну из десятков банд программ-вымогателей, работающих с хакерами для проникновения и парализации компаний по всему миру, усилились после того, как группа нанесла удар по США. Компания по разработке программного обеспечения для управления кассетами в июле.

Этот взлом открыл доступ сразу к сотням клиентов Kaseya, что привело к многочисленным звонкам в службу экстренной помощи при инцидентах в Интернете.

ключ дешифрования

После атаки Касеи ФБР получило глобальный ключ дешифрования, который позволил инфицированным Касеей людям восстановить свои файлы без уплаты выкупа.

Но сотрудники правоохранительных органов первоначально удерживали ключ в течение нескольких недель, так как это было Тихо гоняюсь за REvilПозже это признало ФБР.

По словам трех человек, знакомых с этим вопросом, специалисты правоохранительных органов и киберразведки смогли взломать инфраструктуру компьютерной сети REvil, взяв под контроль по крайней мере некоторые из их серверов.

После того, как в июле веб-сайты, которые использовала хакерская группа, были отключены, главный представитель группы, назвавший себя «Неизвестный», исчез из Интернета.

Когда член банды 0_neday и другие восстановили эти сайты из резервной копии в прошлом месяце, он неосознанно перезагрузил некоторые внутренние системы, которые уже находились под контролем правоохранительных органов.

«Банда вымогателей REvil восстанавливала инфраструктуру из резервных копий, предполагая, что она не была взломана», — сказал Олег Сколкин, вице-президент лаборатории судебной экспертизы российской компании по безопасности Group-IB. По иронии судьбы, предпочтительная тактика банды — торговаться за резервные копии — обернулась против них.

Надежные резервные копии являются одним из наиболее важных средств защиты от атак программ-вымогателей, но они должны оставаться неподключенными к основным сетям, иначе они могут быть зашифрованы вымогателями, такими как REvil.

Представитель Совета национальной безопасности Белого дома отказался комментировать конкретно операцию.

«В целом, мы предпринимаем все усилия правительства по вымогательству, в том числе разрушаем инфраструктуру и участников вымогателей, работаем с частным сектором над модернизацией нашей защиты и создаем международную коалицию, чтобы привлечь к ответственности страны, вымогающие вымогателей», — сказал этот человек. .

В ФБР от комментариев отказались.

Человек, знакомый с событиями, сказал, что иностранный партнер правительства США осуществил хакерскую операцию, которая проникла в компьютерную инфраструктуру REvil. Бывший чиновник США, который говорил на условиях анонимности, сказал, что операция все еще продолжается.

Келлерман сказал, что успех связан с решимостью заместителя генерального прокурора США Лизы Монако, что атаки программ-вымогателей на критически важные объекты инфраструктуры должны рассматриваться как проблема национальной безопасности, аналогичная терроризму.

В июне главный заместитель генерального прокурора Джон Карлин сообщил агентству Рейтер, что Министерство юстиции Обновление расследований атак программ-вымогателей к тому же приоритету.

Келлерман сказал, что такие действия дали Министерству юстиции и другим ведомствам правовую основу для получения помощи от американских спецслужб и Министерства обороны.

«Раньше эти форумы нельзя было взломать, а военные не хотели иметь с ними ничего общего. С тех пор перчатки сошли с ума».