Поделиться
По всему миру идут поиски и демонстративные аресты «русских хакеров»
С начала 2021 г. правоохранительные органы арестовали в общей сложности семь человек, причастных к деятельности шифровальной кибергруппировки REvil. Минимум один из них участвовал в атаке на фирму Kaseya в июле.
Аресты и вознаграждения
Правоохранительные органы Польши по запросу США в октябре 2021 г. арестовали гражданина Украины Ярослава Васинского за участие в кибератаке на фирму Kaseya, произошедшую в июле. Также со стороны минюста США предъявлены обвинения в соучастии в этой атаке россиянину Евгению Полянину. Его задержать пока не смогли, однако, как утверждается, правоохранительным органам удалось конфисковать около $6,1 млн, выплаченных хакерам в качестве выкупа.
Эти аресты, судя по всему, являются частью глобальной кампании по поиску и поимке участников шифровальной группировки REvil и ее партнеров. Васинский и Полянин, которые, согласно предъявленным им обвинениям, непосредственно участвовали в заражении компании Kaseya шифровальщиком REvil, являлись лишь партнерами группировки.
Власти США объявили награду в размере до $10 млн за информацию о лидерах REvil, а также до $5 млн за сведения, которые позволят задержать участников партнерских программ этой группировки.
Как сообщает издание Silicon Angle, в начале ноября 2021 г. власти Румынии арестовали еще двух человек, якобы ответственных за более чем 5 тыс. заражений шифровальщиками (какими именно, не указывается) и получивших около полумиллиона евро в виде выкупа.
Семеро арестованы
Издание TheRecord, в свою очередь, сообщает об арестах в общей сложности семи человек, связанных с группировками REvil и GandCrab, включая вышеупомянутых лиц. Кроме задержанных в Польше и Румынии, трое были арестованы в Южной Корее в феврале, апреле (то есть, еще до атаки на Kaseya) и октябре, а еще один — в начале ноября в Кувейте.
Считается, что за GandCrab и REvil стоят одни и те же люди. Группировка REvil вскоре после атаки на Kaseya приостановила всю деятельность, затем неожиданно вернулась в сентябре 2021 г. Уже в октябре ее инфраструктура подверглась новой атаке.
«Пока есть все основания полагать, что международные правоохранительные органы твердо решили добить REvil полностью и бесповоротно, — считает Михаил Зайцев, эксперт по информационной безопасности компании SEQ. — Операция призвана быть настолько же показательной, насколько демонстративно наглым было поведение REvil и партнеров группировки».
Разгром REvil
REvil — одна из самых известных шифровальных кибергруппировок. По ряду причин ее регулярно связывают с Россией.
Активность эта группа начала проявлять в 2020 г. Среди ее жертв — Acer, Apple, Lenovo, Quanta Computer, а также один из крупнейших производителей мяса в мире, фирма JBS.
В конце июня 2021 г. REvil атаковала компанию Sol Oriens, подрядную организацию, сотрудничающую с министерствами обороны и энергетики США по линии ядерных технологий. Хакеры пообещали слить украденные данные «военному ведомству по их выбору».
Начало июля 2021 г. оказалось для хакеров REvil весьма продуктивным периодом. Именнотогда они организовали и провели успешную кибератаку на американскую компанию Kaseya, поставляющую мониторинговое ПО для MSP-провайдеров. Число пострадавших составило около 56 клиентов MSP-услуг Kaseya и еще около 1500 клиентов этих компаний.
Инциденты с Kaseya и трубопроводом Colonial Pipeline, атакованным группировкой DarkSide, привели к резкой активизации правоохранительных органов США в борьбе с шифровальными группировками.
Reuters и Washington Post сообщили, что уже в июле правоохранительные органы США взломали инфраструкту REvil и отслеживали ее деятельность. После сентябрьского восстановления серверов группировки Киберкомандование США независимо от других структур нанесло свой удар по REvil, что, по-видимому, окончательно отбило у злоумышленников желание продолжать свою деятельность. С октября REvil никак себя не проявляет.
Короткая ссылка
