(Reuters) — Трое частных киберэкспертов, работающих с США, и бывший чиновник заявили, что на этой неделе группа вымогателей REvil была взломана и вынудила подключиться к сети в ходе операции, проводившейся в нескольких странах.
Бывшие партнеры и соратники возглавляемой Россией преступной группировки несут ответственность за кибератаку в мае на колониальном трубопроводе, которая привела к повсеместной нехватке газа на восточном побережье США. Среди прямых жертв REvil — лучшая мясоперерабатывающая компания JBS (JBSS3.SA). Сайт преступной группировки «Счастливый блог», который использовался для утечки данных жертв и вымогательства у компаний, больше не доступен.
Официальные лица заявили, что при атаке Colonial использовалось программное обеспечение для шифрования под названием DarkSide, разработанное REvil Partners.
Том Келлерман, глава отдела стратегии кибербезопасности в VMWare (VMW.N), сказал, что сотрудники правоохранительных органов и разведки не позволили группе нанести ущерб другим компаниям.
«ФБР в сочетании с Киберкомандованием, Секретной службой и единомышленниками действительно участвовало в серьезных актах саботажа против этих групп», — сказал Келлерман, советник Секретной службы США по расследованию киберпреступлений. список.»
Ведущий деятель, известный как «0_neday», который помог перезапустить работу группы после более раннего отключения, сказал, что серверы REvil были взломаны неназванной стороной.
«Сервер был взломан, они искали меня», — написал 0_neday на форуме по киберпреступности в минувшие выходные, и его увидела охранная фирма Recorded Future. «Удачи всем, я ухожу».
Попытки правительства США остановить REvil, одну из десятков банд программ-вымогателей, работающих с хакерами для проникновения и парализации компаний по всему миру, усилились после того, как в июле группа взломала американскую фирму по управлению программным обеспечением Kaseya.
Этот взлом открыл доступ сразу к сотням клиентов Kaseya, что привело к многочисленным звонкам в службу экстренной помощи при инцидентах в Интернете.
ключ атомизации
После атаки Касеи ФБР получило глобальный ключ дешифрования, который позволил инфицированным Касеей людям восстановить свои файлы без уплаты выкупа.
Но сотрудники правоохранительных органов первоначально удерживали ключ в течение нескольких недель, тихо преследуя сотрудников REvil, Позже признало ФБР.
По словам трех человек, знакомых с этим вопросом, специалисты правоохранительных органов и киберразведки смогли взломать инфраструктуру компьютерной сети REvil, взяв под контроль по крайней мере некоторые из их серверов.
После того, как в июле веб-сайты, которые использовала хакерская группа, прекратили свою деятельность, главный представитель группы, назвавший себя «неизвестным», исчез из Интернета.
Когда член банды 0_neday и другие восстановили эти сайты из резервной копии в прошлом месяце, он неосознанно перезагрузил некоторые внутренние системы, которые уже находились под контролем правоохранительных органов.
«Банда вымогателей REvil восстанавливала инфраструктуру из резервных копий, предполагая, что она не была взломана», — сказал Олег Сколкин, вице-президент лаборатории судебной экспертизы российской компании по безопасности Group-IB. «По иронии судьбы, любимая тактика банды торговаться за резервные копии обернулась против них».
Надежные резервные копии являются одним из наиболее важных средств защиты от атак программ-вымогателей, но они должны оставаться неподключенными к основным сетям, иначе они также могут быть зашифрованы вымогателями, такими как REvil.
Представитель Совета национальной безопасности Белого дома отказался комментировать конкретно операцию.
«В целом, мы предпринимаем все усилия правительства по вымогательству, в том числе разрушаем инфраструктуру и участников вымогателей, работаем с частным сектором над модернизацией нашей защиты и создаем международную коалицию, чтобы привлечь к ответственности страны, вымогающие вымогателей», — сказал этот человек. .
В ФБР от комментариев отказались.
Человек, знакомый с событиями, сказал, что иностранный партнер правительства США осуществил хакерскую операцию, которая проникла в компьютерную инфраструктуру REvil. Бывший официальный представитель США, который говорил на условиях анонимности, сказал, что операция все еще продолжается.
Келлерман сказал, что успех связан с решимостью заместителя генерального прокурора США Лизы Монако, что атаки программ-вымогателей на критически важные объекты инфраструктуры должны рассматриваться как проблема национальной безопасности, аналогичная терроризму.
В июне главный заместитель генерального прокурора Джон Карлин сообщил агентству Рейтер, что Министерство юстиции уделяет аналогичное внимание расследованию атак программ-вымогателей.
Келлерман сказал, что такие действия дали Министерству юстиции и другим ведомствам правовую основу для получения помощи от американских спецслужб и Министерства обороны.
«Раньше эти форумы нельзя было взломать, а военные не хотели иметь с ними ничего общего. С тех пор перчатки оторвались».
(Репортаж Джозефа Мина и Кристофера Бинга). Редакция Криса Сандерса и Гранта Макколла
Наши критерии: Принципы доверия Thomson Reuters.