Группа вымогателей REvil на этой неделе была взломана и отключена от сети в результате операции в нескольких странах
Бывшие партнеры и сообщники возглавляемой Россией преступной группировки несут ответственность за майскую кибератаку на Colonial Pipeline, которая привела к повсеместной нехватке газа на восточном побережье США. Прямые жертвы REvil — это ведущий производитель мяса JBS (JBSS3.SA) . Сайт преступной группировки «Happy Blog», который использовался для утечки данных о жертвах и вымогательства у компаний, больше не доступен.
Официальные лица заявили, что при атаке Colonial использовалось программное обеспечение для шифрования под названием DarkSide, которое было разработано партнерами REvil.
Глава VMWare (VMW.N) по стратегии кибербезопасности Том Келлерманн сказал, что сотрудники правоохранительных органов и разведки не позволили группе преследовать другие компании.
«ФБР вместе с Киберкомандованием, Секретной службой и странами-единомышленниками действительно предприняло серьезные подрывные действия против этих групп, — сказал Келлерманн, советник Секретной службы США по расследованию киберпреступлений. «REvil был первым в списке».
Один из лидеров, известный как «0_neday», который помог перезапустить работу группы после более раннего отключения, сказал, что серверы REvil были взломаны неназванной стороной.
«Сервер был взломан, и они искали меня», — написал 0_neday на форуме по киберпреступности в минувшие выходные и впервые был замечен охранной фирмой Recorded Future. «Удачи всем, я ухожу».
Попытки правительства США остановить REvil, одну из худших из десятков банд вымогателей, которые работают с хакерами, чтобы проникнуть в компании по всему миру и парализовать их, усилились после того, как в июле группа взломала американскую компанию по управлению программным обеспечением Kaseya.
Это нарушение открыло доступ сразу к сотням клиентов Kaseya, что привело к многочисленным звонкам в службу реагирования на киберинциденты.
КЛЮЧ ДЛЯ РАСШИФРОВКИ
После атаки на Kaseya ФБР получило универсальный ключ дешифрования, который позволял зараженным через Kaseya восстанавливать свои файлы без выкупа.
Но сотрудники правоохранительных органов первоначально скрывали ключ в течение нескольких недель, поскольку они незаметно преследовал сотрудников REvil, как позже признало ФБР.
По словам трех человек, знакомых с этим вопросом, кибер-специалисты правоохранительных органов и разведки смогли взломать инфраструктуру компьютерной сети REvil, получив контроль по крайней мере над некоторыми из своих серверов.
После того, как в июле веб-сайты, которые хакерская группа использовала для ведения бизнеса, отключились, главный представитель группы, называющий себя «Unknown,», исчез из Интернета.
Когда член банды 0_neday и другие восстановили эти веб-сайты из резервной копии в прошлом месяце, они неосознанно перезапустили некоторые внутренние системы, которые уже находились под контролем правоохранительных органов США.
«Банда вымогателей REvil восстановила инфраструктуру из резервных копий, предположив, что они не были взломаны», — сказал Олег Скулкин, заместитель начальника лаборатории криминалистической экспертизы российской компании по обеспечению безопасности Group-IB. «По иронии судьбы, излюбленная тактика банды — компрометация резервных копий — была обращена против них».
Надежные резервные копии являются одним из наиболее важных средств защиты от атак программ-вымогателей, но они должны быть отключены от основных сетей, иначе они также могут быть зашифрованы вымогателями, такими как REvil.
Представитель Совета национальной безопасности Белого дома отказался комментировать операцию конкретно.
«В целом, мы предпринимаем целые правительственные усилия по вымогательству, включая нарушение инфраструктуры и участников вымогателей, работаем с частным сектором над модернизацией нашей защиты и создаем международную коалицию, чтобы привлечь к ответственности страны, укрывающие вымогателей», — сказал этот человек. .
В ФБР от комментариев отказались.
Один человек, знакомый с событиями, сказал, что иностранный партнер правительства США осуществил хакерскую операцию, которая проникла в компьютерную архитектуру REvil. Бывший чиновник США, который говорил на условиях анонимности, сказал, что операция все еще продолжается.
По словам Келлерманна, успех связан с определением заместителя генерального прокурора США Лизы Монако о том, что атаки программ-вымогателей на критически важные объекты инфраструктуры должны рассматриваться как проблема национальной безопасности, аналогичная терроризму.
В июне заместитель генерального прокурора Джон Карлин сообщил агентству Рейтер, что министерство юстиции уделяет расследованию атак с использованием программ-вымогателей такой же приоритет.
По словам Келлерманна, такие действия дали Министерству юстиции и другим ведомствам правовую основу для получения помощи от американских спецслужб и Министерства обороны.
«Раньше эти форумы нельзя было взломать, и военные не хотели иметь с этим ничего общего. Но с тех пор многое изменилось».
Репортаж Джозефа Менна и Кристофера Бинга; Редакция Криса Сандерса и Гранта Маккула