Зломщик Kaseya Міністерство юстиції США звинуватило 22-річного громадянина України Ярослава Васинського, якого підозрюють в організації здирницької атаки на сервери компанії Kaseya, що сталася в липні поточного року.

Alterego ankaŭ konata kiel Midshipman у Твіттері: «Чорні Троянди: Google Dorking або використовуємо Google на максимум https://t.co/pSBjKhDwyz через @reddit» / Твіттер

Влада США заарештувала зломщика компанії Kaseya, а також хакерів, пов'язаних з REvil та GandCrab

За

 

xakep.ru

4 хв

Переглянути оригінал

Рекомендуємо почитати:

Правоохоронні органи, а також європейська та американська влада серйозно взялися за боротьбу з шифрувальниками. За останні кілька днів сталося одразу кілька важливих подій.

Операція Cyclone

Операція Cyclone , яку проводили Інтерпол, правоохоронні органи України та США, тривала понад 30 місяців і була спрямована на боротьбу з шифрувальниками Clop (він же Cl0p). Саме в рамках цієї операції у червні 2021 року було заарештовано шістьох громадян України.

Нагадаю, що південнокорейська поліція розпочала розслідування щодо хакерів минулого року, після того, угруповання атакувало мережу південнокорейського e-commerce гіганта електронної  E-Land  у листопаді 2020 року. Через цю атаку корейська компанія закрила майже всі свої магазини. Пізніше хакери заявили, що викрали у компанії дані 2 000 000 банківських карток, використовуючи PoS-Мальвар.

Як повідомляється тепер, у рамках операції провели понад 20 рейдів, під час яких було вилучено комп'ютери, техніку, автомобілі та приблизно 185 000 доларів. Також стало відомо, що в операції брали участь і ІБ-фахівці, включаючи експертів компаній Trend Micro, CDI, "Лабораторії Касперського", Palo Alto Networks, Fortinet та Group-IB.

Зломщик Kaseya

Міністерство юстиції США звинуватило 22-річного громадянина України Ярослава Васинського, якого підозрюють в організації здирницької атаки на сервери компанії Kaseya, що сталася в липні поточного року.

Підозрюваного було  затримано минулого місяця  на підставі ордера, виданого в США. Він був заарештований польською владою на прикордонному пункті між Україною та Польщею.

Нагадаю, що на початку липня клієнти постачальника MSP-рішень Kaseya  постраждали від масштабної атаки  шифрувальника REvil (Sodinokibi). Тоді хакери використовували 0-day вразливості у продукті компанії (VSA) і через них атакували клієнтів Kaseya. В даний час для цих вразливостей вже  випущені патчі .

Основна проблема в тому, що більшість постраждалих серверів VSA використовувалися MSP-провайдерами, тобто компаніями, які управляють інфраструктурою інших клієнтів. Отже, зловмисники розгорнули шифрувальника  в тисячах корпоративних мереж . За офіційними даними, компрометація торкнулася близько 60 клієнтів Kaseya, через інфраструктуру яких хакери змогли зашифрувати приблизно 800-1500 корпоративних мереж.

Як тепер заявляє влада, в мережі Васинський був відомий під ніком MrRabotnik (а також Profcomserv, Rabotnik, Rabotnik_New, Yarik45, Yaraslav2468, і Affiliate 22) і з 2019 року зламував компанії по всьому світу (здійснивши не менше 2500 атак), потім їхній інфраструктурі мальвар REvil.

Щоб відновити свої файли, жертви мали заплатити викуп хак-групі REvil, і значну частину цієї «прибутку» отримував Васінський. Міністерство юстиції заявило, що хакер «заробив» 2,3 мільйона доларів, загалом зажадавши від компаній понад 760 мільйонів доларів.

Крім Васінського, Мін'юст США також звинуватив другого підозрюваного, який також співпрацював з хак-групою REvil. У судових документах ця людина фігурує як 28-річний громадянин Росії Євген Полянін (він же LK4D4, Damnating, damn2Life, Noolleds, Antunpitre, Affiliate 23). Повідомляється, що він теж працював з REvil як партнер, зламуючи компанії від імені угруповання.

На думку влади, Полянін зламав мережу TSM Consulting, провайдера керованих послуг із Техасу, звідки 16 серпня 2019 року він розгорнув мальвар REvil у внутрішніх мережах як мінімум 20 місцевих урядових агентств.

Хоча Полянин все ще перебуває на волі і   розшукується ФБР , Міністерство юстиції заявляє, що фахівцям вдалося захопити криптовалюту, що належить йому, на суму 6,1 млн доларів, які підозрюваний зберігав на рахунку FTX.

Арешти інших учасників REvil

Цього тижня Європол  оголосив про арешт семи підозрюваних, які працювали як партнери здирників REvil (Sodinokibi) і GandCrab, і допомогли провести понад 7000 здирницьких атак з початку 2019 року. Також в операції брали участь експерти компаній Bitdefender, KPN та McAfee.

Нагадаю, що, на думку ІБ-фахівців, REvil та GandCrab, керують одні й ті самі люди, які створили малечу та пропонували її іншим злочинцям в оренду.

Європол заявляє, що з 2019 року семеро підозрюваних, заарештованих у Румунії та Кувейті, здійснили атаки, в яких сумарно вимагали викупи на суму понад 230 мільйонів доларів.

У заяві, зробленій Європолом, йдеться, що арешти є результатом операції GoldDust, у якій брали участь правоохоронці з 17 країн світу, а також сам Європол, Євроюст та Інтерпол.

Санкції для Chatex

Також цього тижня Міністерство фінансів США запровадило санкції щодо криптовалютного обмінника Chatex, який допомагав зловмисникам здійснювати фінансові транзакції.

"Аналіз відомих транзакцій Chatex показує, що більше половини з них безпосередньо пов'язані з незаконною або високоризиковою діяльністю, включаючи ринки даркнета, обміни з високим ступенем ризику та діяльність програм-вимагачів", - заявили представники Міністерства фінансів.

Офіційні особи наголошують, що біржа має «прямі зв'язки» з російським обмінником Suex, на який у вересні поточного року також були накладені санкції (з тих самих причин).

Приз $10 000 000

Як ми вже повідомляли раніше, уряд США  запропонував винагороду у розмірі 10 000 000 доларів за будь-яку інформацію, яка може призвести до ідентифікації чи арешту учасників хак-групи DarkSide.

Наголошувалося, що цю нагороду можна отримати за будь-яку інформацію про глави Darkside, які займають ключові позиції у групуванні. Якщо ж інформатор надасть дані, які призведуть до арешту партнерів DarkSide (у будь-якій країні), які допомагають хакерам проводити атаки, можна отримати за цю інформацію до 5 000 000 доларів.

Тепер американська влада запропонувала аналогічну винагороду за будь-яку інформацію, яка допоможе призвести до ідентифікації або арешту учасників хак-групи REvil: 10 млн доларів за керівників угруповання та 5 млн за інформацію про афілійованих осіб.