9 ноября последовало продолжение вчерашней истории c вознаграждением размером в 10 млн. долларов за информацию о хакерах, связанных с бандой ransomware DarkSide (aka BlackMatter). Такой же прайс в рамках специализированной американской программы TOCRP был назначен информацию, которая может привести к установлению личности или местонахождения руководителей группировки REvil (Sodinokibi).
Как мы предполагали почти полгода назад, за головы хакеров, наносящих колоссальные убытки крупным корпорациям стали назначать не менее колоссальные награды. Правда, мы думали, что это будут все-таки частный капитал, но в реале деньги обещают госструктуры.
Параллельно с этим США в составе широкой коалиции со своими традиционными партнерами начали фактически крестовый поход против вымогателей в рамках операции под условным наименованием GoldDust.
По наводке американских спецслужб румынские спецслужбы при поддержке полиции арестовали в Констанце двух операторов REvil, ответственных приблизительно за 5000 атак с общей суммой выкупа до полумиллиона евро. В тот же день правоохранители Кувейта арестовали еще одного злоумышленника, подозреваемого в партнерстве с вымогателями. Ему вменяется около 7000 кибератак с общим объемом выкупа на сумму более 200 млн. евро.
Всего в мероприятиях были задействованы силовики из 17 стран, Европола, Евроюста и Интерпола, которым удалось установить личности хакеров, взять под их наблюдение и прослушивать коммуникации. Ранее в октябре подозреваемый в связях с REvil был также захвачен в Южной Корее.
Помимо текущих арестов, в прошлом месяце на основании ордера США при переходе из Украины в Польшу был задержан 22-летний украинец Ярослав Васинский, который работал в качестве оператора REvil еще с 2019 года. Именно он был виновником серии резонансных атак: на его счету инциденты с мясоперерабатывающей компанией JBS SA и поставщиком ПО Kaseya. В ходе последнего хакер смог пошифровать тысячи ее клиентов, что фактически равносильно военной агрессии и было воспринято Белым домом как соответствующий вызов.
ФБР объявили в розыск также его подельника – гражданина России, 28-летнего жителя Барнаула Евгения Полянина, помогавшего накатывать полезные нагрузки в виде ransomware в зараженных системах. Ему вменяют около 3000 атак, в том числе эпизод со взломом в 2019 году провайдера управляемых услуг из Техаса TSM Consulting, который позволил ему пошифровать более двух десятков местных правительственных учреждений. Кроме того, на основании требования Минюста США спецслужбам удалось конфисковать активы Полянина в криптовалюте на сумму 6,1 миллиона долларов, которые он хранил на счете FTX.
Все это подтверждает нашу версию о том, что возрождение инфраструктуры REvil было четко спланированной операцией американских спецслужб совместно со специалистами из частного сектора, нацеленная на вскрытие операторов и иных связанных с вымогателями лиц.
Параллельно удары наносятся по карманам вымогателей, в связи с чем США также объявили о второй волне санкций (первая накрыла биржу SUEX OTC) против криптобиржи Chatex, которая, по мнению финрегулятора, используется в интересах для обналичивания средств хакеров. В число будущих черносписочников также относят фигурантов недавнего расследования Bloomberg – EggChange и CashBank.
Вместе с тем, по последним данным, вымогатели из Hive объявили невиданный размер первоначального выкупа в рекордные 240 миллионов долларов, счет был выставлен торговому гиганту электроники MediaMarkt, ИТ-системы которого после атаки были зашифрованы и отключены.
Вы удивлены, мы нет: это является подтверждением нашего мнения о том, что вымогатели будут хеджировать риски, связанные с высокой активностью властей по их поиску, выкупы будут и дальше расти. По всей видимости, уходить с темы хакеры не намерены и уже задали новый тренд совершения кибератак.
Публикация: Europol
Five affiliates to Sodinokibi/REvil unplugged
Updated on 8 November at
Источник: t.me
Заставка: pixabay.