Власти США арестовали взломщика компании Kaseya, а также хакеров, связанных с REvil и GandCrab

Правоохранительные органы, а также европейские и американские власти всерьез взялись за борьбу с шифровальщиками. За последние несколько дней произошло сразу несколько важных событий, пишет Хакер.

Операция Cyclone

Операция Cyclone, которую проводили Интерпол, правоохранительные органы Украины и США, длилась более 30 месяцев и была направлена на борьбу с шифровальщиков Clop (он же Cl0p). Именно в рамках этой операции в июне 2021 года были арестованы шесть граждан Украины.

Напомню, что южнокорейская полиция начала расследование в отношении хакеров в прошлом году, после того, группировка атаковала сеть южнокорейского e-commerce гиганта электронной E-Land в ноябре 2020 года. Из-за этой атаки корейская компания закрыла почти все свои магазины. Позже хакеры заявили, что похитили у компании данные 2 000 000 банковских карт, используя PoS-малварь.

Как сообщается теперь, в рамках операции провели более 20 рейдов, в ходе которых были изъяты компьютеры, техника, автомобили и примерно 185 000 долларов. Также стало известно, что в операции принимали участие и ИБ-специалисты, включая экспертов компаний Trend Micro, CDI, «Лаборатории Касперского», Palo Alto Networks, Fortinet и Group-IB.

Взломщик Kaseya

Министерство юстиции США предъявило обвинения 22-летнему гражданину Украины Ярославу Васинскому, которого подозревают в организации вымогательской атаки на серверы компании Kaseya, которая произошла в июле текущего года.

Подозреваемый был задержан в прошлом месяце на основании ордера, выданного в США. Он был арестован польскими властями на пограничном пункте между Украиной в Польшей.

Напомню, что в начале июля клиенты поставщика MSP-решений Kaseya пострадали от масштабной атаки шифровальщика REvil (Sodinokibi). Тогда хакеры использовали 0-day уязвимости в продукте компании (VSA) и через них атаковали клиентов Kaseya. В настоящее время для этих уязвимостей уже выпущены патчи.

Основная проблема заключалась в том, что большинство пострадавших серверов VSA использовались MSP-провайдерами, то есть компаниями, которые управляют инфраструктурой других клиентов. А значит, злоумышленники развернули шифровальщика в тысячах корпоративных сетей. По официальным данным, компрометация затронула около 60 клиентов Kaseya, через инфраструктуру которых хакеры смогли зашифровать примерно 800-1500 корпоративных сетей.

Как теперь заявляют власти, в сети Васинский был известен под ником MrRabotnik (а также Profcomserv, Rabotnik, Rabotnik_New, Yarik45, Yaraslav2468, и Affiliate 22) и с 2019 года взламывал компании по всему миру (совершив не менее 2500 атак), затем разворачивая в их инфраструктуре малварь REvil.

Чтобы восстановить свои файлы, жертвы должны были заплатить выкуп хак-группе REvil, и значительную часть этой «прибыли» получал Васинский.  Министерство юстиции заявило, что хакер «заработал» 2,3 миллиона долларов, в общей сложности потребовав от компаний более 760 миллионов долларов.

Помимо Васинского, Минюст США также предъявил обвинения второму подозреваемому, который тоже сотрудничал с хак-группой REvil. В судебных документах этот человек фигурирует как 28-лений гражданин России Евгений Полянин (он же LK4D4, Damnating, damn2Life, Noolleds, Antunpitre, Affiliate 23). Сообщается, что он тоже работал с REvil в качестве партнера, взламывая компании от имени группировки.

По мнению властей, Полянин взломал сеть TSM Consulting, провайдера управляемых услуг из Техаса, откуда  16 августа 2019 года он развернул малварь REvil во внутренних сетях  как минимум 20 местных правительственных агентств.

Хотя Полянин все еще находится на свободе и  разыскивается ФБР, Министерство юстиции заявляет, что специалистам удалось захватить принадлежащую ему криптовалюту на сумму 6,1 млн долларов, которые подозреваемый хранил на счете FTX.

Аресты других участников REvil

На этой неделе Европол объявил об аресте семи подозреваемых, которые работали в качестве партнеров вымогателей REvil (Sodinokibi) и GandCrab, и помогли провести более 7000 вымогательских атак с начала 2019 года. Также в операции принимали участие эксперты компаний Bitdefender, KPN и McAfee.

Напомню, что, по мнению ИБ-специалистов, REvil и GandCrab, управляют одни и те же люди, которые создали малварь и предлагали ее другим преступникам в аренду.

Европол заявляет, что с 2019 года семь подозреваемых, арестованных в Румынии и Кувейте, совершили атаки, в которых суммарно потребовали выкупы на сумму более 230 миллионов долларов.

В заявлении, сделанном Европолом, говорится, что аресты являются результатом операции GoldDust, в которой принимали участие сотрудники правоохранительных органов из 17 стран мира, а также сам Европол, Евроюст и Интерпол.

Санкции для Chatex

Также на этой неделе Министерство финансов США ввело санкции в отношении криптовалютного обменника Chatex, который помогал злоумышленникам осуществлять финансовые транзакции.

«Анализ известных транзакций Chatex показывает, что более половины из них напрямую связаны с незаконной или высокорисковой деятельностью, включая рынки даркнета, обмены с высокой степенью риска и деятельность программ-вымогателей», — заявили представители Министерства финансов.

Награда $10 000 000

Как мы уже сообщали ранее, правительство США предложило вознаграждение в размере 10 000 000 долларов за любую информацию, которая может привести к идентификации или аресту участников хак-группы DarkSide.

Подчеркивалось, что эту награду можно получить за любую информацию о главах Darkside, занимающих ключевые позиции в группировке. Если же информатор предоставит данные, которые приведут к аресту партнеров DarkSide (в любой стране), которые помогают хакерам проводить атаки, за эту информацию можно получить до 5 000 000 долларов.

Теперь американские власти предложили аналогичное вознаграждение за любую информацию, которая поможет привести к идентификации или аресту участников хак-группы REvil: 10 млн долларов за руководителей группировки и 5 млн за информацию об аффилированных лицах.