Фбр мовчки зберігало ключ, поки угруповання revil шифрувала дані тисяч компаній

22

Протягом трьох літніх тижнів федеральне бюро розслідувань (фбр) сша мовчки спостерігало за тим, як злочинна група revil з метою викупу шифрувала інформаційні системи численних компаній і організацій, включаючи лікарні, школи і комерційні підприємства.

Arstechnica.com

За наявними даними, фбр проникло на сервери злочинного співтовариства з метою викрадення ключа, але після обговорення проблеми з іншими правоохоронними відомствами вирішило не розсилати його потерпілим, продовживши спостерігати за діяльністю злочинців. Розкрити особи зловмисників не вдалося. 13 липня угруповання буквально розчинилося в мережі.

” ми приймаємо рішення групою, не в односторонньому порядку. Це комплексні рішення, що передбачають максимальний ефект. Необхідний час на те, щоб виступити проти супротивників у випадках, де ми повинні мобілізувати ресурси не тільки в країні, але і по всьому світу», — заявив глава відомства крістофер рей (christopher wray) у своєму виступі перед американськими конгресменами.

Відомо, що revil роками використовує жорсткі тактики вимагання грошей у жертв. Вперше злочинне співтовариство дало про себе знати в 2019 році і активно діяло навесні-влітку поточного року. Відомо, що в березні зловмисники зламали сервери юридичної фірми, що представляє інтереси u2, мадонни, леді гаги, зажадавши викуп у розмірі 21 мільйона доларів. Коли юристи відмовилися платити, злочинці подвоїли суму і опублікували деякі файли леді гаги.

У квітні були вкрадені дані у виробника quanta computer, завдяки чому в мережу потрапили дані двох продуктів apple. У травні постраждали інформаційні системи американської трубопровідної компанії colonial pipeline, через що почалися перебої з поставками палива в значній частині сша, а влітку атакам піддалися сервери одного з найбільших у світі м’ясопереробників jbs, що призвело до зупинки заводів у сполучених штатах, канаді та австралії. Нарешті, використання уразливості в інструментах віддаленого управління, що розробляються компанією kaseya, дозволило revil отримати доступ до управління мережевою інфраструктурою понад 1500 комерційних і некомерційних організацій по всьому світу, після чого дані численних жертв були зашифровані.

Минулого четверга компанія bitdefender опублікувала універсальний інструмент для дешифрування даних. Поки його використовували 250 компаній. За деякими даними, ключ, що дозволив розшифрувати інформацію, надано компанії одним з правоохоронних відомств сша, але не фбр.

Незважаючи на всі спроби правоохоронних органів покласти край діяльності revil, атаки поновилися. У цьому місяці постраждали як мінімум 8 нових компаній, причому випущений bitdefender інструмент в нових випадках вже не працює. Схоже, що зловмисники вдосконалили свої технології після короткої відсутності.