Разделы

Безопасность Бизнес Техника

По всему миру идут поиски и демонстративные аресты «русских хакеров»

С начала 2021 г. правоохранительные органы арестовали в общей сложности семь человек, причастных к деятельности шифровальной кибергруппировки REvil. Минимум один из них участвовал в атаке на фирму Kaseya в июле.

Аресты и вознаграждения

Правоохранительные органы Польши по запросу США в октябре 2021 г. арестовали гражданина Украины Ярослава Васинского за участие в кибератаке на фирму Kaseya, произошедшую в июле. Также со стороны минюста США предъявлены обвинения в соучастии в этой атаке россиянину Евгению Полянину. Его задержать пока не смогли, однако, как утверждается, правоохранительным органам удалось конфисковать около $6,1 млн, выплаченных хакерам в качестве выкупа.

Эти аресты, судя по всему, являются частью глобальной кампании по поиску и поимке участников шифровальной группировки REvil и ее партнеров. Васинский и Полянин, которые, согласно предъявленным им обвинениям, непосредственно участвовали в заражении компании Kaseya шифровальщиком REvil, являлись лишь партнерами группировки.

Власти США объявили награду в размере до $10 млн за информацию о лидерах REvil, а также до $5 млн за сведения, которые позволят задержать участников партнерских программ этой группировки.

antihakery600.jpg
По всему миру ловят партнеров группировок REvil и Gandcrab

Как сообщает издание Silicon Angle, в начале ноября 2021 г. власти Румынии арестовали еще двух человек, якобы ответственных за более чем 5 тыс. заражений шифровальщиками (какими именно, не указывается) и получивших около полумиллиона евро в виде выкупа.

Семеро арестованы

Издание TheRecord, в свою очередь, сообщает об арестах в общей сложности семи человек, связанных с группировками REvil и GandCrab, включая вышеупомянутых лиц. Кроме задержанных в Польше и Румынии, трое были арестованы в Южной Корее в феврале, апреле (то есть, еще до атаки на Kaseya) и октябре, а еще один — в начале ноября в Кувейте.

Считается, что за GandCrab и REvil стоят одни и те же люди. Группировка REvil вскоре после атаки на Kaseya приостановила всю деятельность, затем неожиданно вернулась в сентябре 2021 г. Уже в октябре ее инфраструктура подверглась новой атаке.

«Пока есть все основания полагать, что международные правоохранительные органы твердо решили добить REvil полностью и бесповоротно, — считает Михаил Зайцев, эксперт по информационной безопасности компании SEQ. — Операция призвана быть настолько же показательной, насколько демонстративно наглым было поведение REvil и партнеров группировки».

Разгром REvil

REvil — одна из самых известных шифровальных кибергруппировок. По ряду причин ее регулярно связывают с Россией.

Активность эта группа начала проявлять в 2020 г. Среди ее жертв — Acer, Apple, Lenovo, Quanta Computer, а также один из крупнейших производителей мяса в мире, фирма JBS.

В конце июня 2021 г. REvil атаковала компанию Sol Oriens, подрядную организацию, сотрудничающую с министерствами обороны и энергетики США по линии ядерных технологий. Хакеры пообещали слить украденные данные «военному ведомству по их выбору».

Бесплатная российская замена Active Directory упрощает переход на отечественное ПО
Безопасность

Начало июля 2021 г. оказалось для хакеров REvil весьма продуктивным периодом. Именнотогда они организовали и провели успешную кибератаку на американскую компанию Kaseya, поставляющую мониторинговое ПО для MSP-провайдеров. Число пострадавших составило около 56 клиентов MSP-услуг Kaseya и еще около 1500 клиентов этих компаний.

Инциденты с Kaseya и трубопроводом Colonial Pipeline, атакованным группировкой DarkSide, привели к резкой активизации правоохранительных органов США в борьбе с шифровальными группировками.

Reuters и Washington Post сообщили, что уже в июле правоохранительные органы США взломали инфраструкту REvil и отслеживали ее деятельность. После сентябрьского восстановления серверов группировки Киберкомандование США независимо от других структур нанесло свой удар по REvil, что, по-видимому, окончательно отбило у злоумышленников желание продолжать свою деятельность. С октября REvil никак себя не проявляет.

Роман Георгиев