Разгром хакерской группировки REvil

    Эту статью могут комментировать только участники сообщества.
    Вы можете вступить в сообщество одним кликом по кнопке справа.
    Екатерина Иванова перепечаталa из www.rbc.ru
    0 оценок, 517 просмотров Обсудить (0)

    В 14 городах задержали предполагаемых хакеров одной из старейших и наиболее агрессивных группировок REvil. Основанием стал запрос из США и требование Байдена. Что известно о группировке и операции против нее.
    В субботу, 15 января, Тверской районный суд Москвы арестовал двух задержанных, которых подозревают в членстве в REvil. Михаил Головачук и Руслан Хансвяров останутся под стражей как минимум два месяца, до 13 марта.
    Позже такая же мера пресечения и на тот же срок была определена для еще одного задержанного — Дмитрия Коротаева.
    Накануне вечером суд отправил в СИЗО двух других подозреваемых по этому делу — Романа Муромского и Андрея Бессонова. В базе суда содержится информация о еще трех подозреваемых: Алексее Малоземове, Данииле Пузыревском и Артеме Заеце. Таким образом, пока известно о восьми подозреваемых по делу REvil.

    Фото: ФСБ России
    Что произошло.
    В пятницу, 14 января, ФСБ отчиталась о пресечении деятельности преступного сообщества, члены которого с помощью вредоносных программ похищали деньги со счетов иностранных граждан и компаний. Речь идет о группировке REvil, и в результате действий спецслужбы и МВД она «прекратила существование», а ее информационная структура была «нейтрализована», уверены в ведомстве.
    Следственные действия прошли по 25 адресам в Москве, Санкт-Петербурге, Московской, Ленинградской и Липецкой областях; были установлены 14 членов группы, сообщили в ФСБ. В ходе обысков было изъято более 426 млн руб., в том числе в криптовалюте, $600 тыс., €500 тыс., 20 автомобилей премиум-класса, а также компьютерная техника и криптокошельки, которые использовались для совершения преступлений.
    «Основанием для разыскных мероприятий послужило обращение компетентных органов США», — уточнили в ФСБ. Именно они сообщили российским правоохранительным органам о лидере преступного сообщества и посягательствах на информационные ресурсы «зарубежных высокотехнологичных компаний», в том числе путем «шифрования информации и вымогательства денежных средств за ее дешифрование».
    «Пожалуй, это одна из самых значимых операций специальных служб России в области борьбы с киберпреступностью за последние годы», — сказал РБК руководитель Центра мониторинга и реагирования на инциденты ИБ Jet CSIRT компании «Инфосистемы Джет» Алексей Мальнев.
    «Группа REvil являлась одним из старейших и самых агрессивных игроков на рынке программ-вымогателей» и ее деятельность «стала одной из основных причин впечатляющего роста рынка программ-вымогателей», пояснили в Group IB. Хотя REvil фактически ликвидирована, у них остались продолжатели и партнеры, использующие их тактики и техники, подчеркнули в компании.
    Оператор REvil утверждал, что выручка группы за 2020 год составила $100 млн; это делает ее наиболее успешной хакерской группировкой, говорилось в отчете «Лаборатории Касперского».
    Среди жертв REvil были, например, один из ключевых партнеров Apple — компания Quanta Computer, крупнейший производитель мяса в мире JBS Foods, ИT-гигант Acer и поставщик MSP-решений Kaseya, управляющий компьютерными сетями тысяч мелких компаний без собственных ИТ-департаментов.
    «Группировка REvil является автором множества нашумевших киберинцидентов и оставила значительный след в истории киберпреступлений», — сказал РБК Мальнев. Он отметил, что группа «внимательно подходила к выбору жертв»: «Прежде всего, мошенники заинтересованы в атаках на крупные компании, так как они в состоянии заплатить выкуп в несколько десятков или сотен миллионов долларов».
    REvil была одной из самых известных группировок, занимающихся вымогательством по модели RaaS (Ransomware-as-a-Service, «программа-вымогатель как услуга»), сказал РБК основатель сервиса разведки утечек данных и мониторинга даркнета DLBI Ашот Оганесян. RaaS-платформа — это ПО, шифрующее данные жертвы и сливающее их на сервера злоумышленников, плюс инфраструктура ведения переговоров с жертвой и приема/отмывки платежей. Владельцы Raas-платформы сдают ее в аренду своим партнерам, которые уже осуществляют взлом сетей и «заносят» туда вирус-шифровальщик, объяснил Оганесян.
    Что предшествовало разгрому группы
    Тема кибератак хакеров из России поднималась на переговорах президентов России и США начиная с лета прошлого года. Джо Байден потребовал от Владимира Путина пресечь деятельность вымогателей и выразил уверенность, что власти России знают, кто стоит за атаками.
    В июле прошлого года, через несколько дней после очередного такого разговора, было обнаружено полное отключение инфраструктуры группировки REvil: «Речь шла о целой сети обычных и даркнет-сайтов, которые используются для переговоров о выкупе, отправки похищенных у жертв данных и внутренней инфраструктуры вымогателя», — рассказал Мальнев. Стали недоступны также блог и «техподдержка» REvil, а на теневых хакерских форумах заблокировали аккаунт представителя REvil — такое бывает, если есть риск задержания владельца учетной записи, говорил заместитель руководителя «Лаборатории компьютерной криминалистики» Group-IB Олег Скулкин.
    Доподлинно неизвестно, что к этому привело, но Reuters писал, что спецслужбы США могли взломать и взять под контроль сервера группы, завладев универсальным ключом дешифрования, который позволял зараженным через Kaseya компаниям восстанавливать свои файлы без выкупа. После этого, по информации агентства, REvil попыталась восстановить свою инфраструктуру из резервных копий, перезапустив некоторые внутренние системы и предполагая, что они не скомпрометированы. В действительности они уже могли находиться под контролем властей, напомнили в Group IB.
    «Существует также предположение, что злоумышленники могли оставить след при проведении крупнейшей атаки на Kaseya, поэтому для перестраховки ушли в тень. Предполагалось также, что отключение может быть связано с перегруппировкой киберпреступников в целях строительства более мощной и обширной площадки для проведения атак», — рассказал Мальнев.
    В ноябре Федеральное бюро расследований США объявило в розыск 28-летнего россиянина Евгения Полянина, которого считает причастным к деятельности REvil. Госдеп США предложил вознаграждение до $10 млн за любую информацию, которая поможет установить лидеров и участников группировки.
    Что известно о задержанных
    К вечеру 14 января стали известны имена двоих задержанных в Москве — это Роман Муромский и Андрей Бессонов. Тверской суд Москвы по ходатайству следственного департамента МВД, который расследует дело, заключил их под стражу.
    На странице Муромского во «ВКонтакте» написано, что он в 2012 году окончил «Станкин». РБК поговорил с несколькими его однокурсниками.
    «Он работал в сфере ИT. Во времена студенчества создавал сайты. Не знаю, мог ли он быть связан с хакерами, — рассказала РБК однокурсница Романа Муромского Мария. — Мы учились вместе, жили в общежитии, близко общались в одной компании. Я, как и его бывшие девушки, не могу поверить в реальность происходящего. Его близкие друзья, с которыми он общался последнее время, вообще в шоке. Они его потеряли и полтора дня разыскивали по моргам и больницам. Никто из нас ничего не знал про это. И нам сложно поверить, что это правда».
    «Узнал пару часов назад от общих друзей. Очень удивился. В студенческие времена нередко общались, тем более что жили в одном студенческом общежитии, но после практически не пересекались. Говорил, что занимался разработкой ПО, вроде на фрилансе, точно не помню. В целом довольно умный парень, но прямо гениального в нем я не заметил. Был довольно ушлый, но в целом честный, по крайней мере с друзьями. Мог или не мог, я даже не знаю», — сообщил РБК еще один его знакомый, Андрей.
    «Знаю, что он еще со студенческих лет работал в ИT. Ни о какой его связи с хакерами никогда не слышал и не подозревал, так как со стороны это был обычный парень, без каких-либо ярко выраженных странностей, ничем не выдающийся, но в целом приятный, поэтому я был немного шокирован, когда узнал о происходящем», — рассказал РБК знакомый Муромского, пожелавший сохранить анонимность.
    Еще один однокурсник Муромского сомневается, что он причастен к группировке. По его словам, Муромский занимался версткой сайтов, интересовался программированием.
    Почему хакеров решили преследовать по нетипичной статье
    Оба фигуранта — подозреваемые по ч. 2 ст. 187 УК (неправомерный оборот средств платежей в составе организованной группы), по этому составу преследуют за изготовление, приобретение, сбыт поддельных платежных карт, распоряжений о переводе денег, других документов и средств приема, выдачи, перевода денежных средств. Подозреваемым грозит до семи лет колонии.
    Традиционно за взлом компьютерной инфраструктуры преследуют по ст. 272 и 273 УК, за вымогательство — по ст. 163 УК, а за создание или участие в преступном сообществе — по ст. 210.
    Из формулировки подозрения следует, что, вероятно, все задержанные являются номиналами для проведения платежей, низшим звеном преступного сообщества, заявил РБК основатель компании ChronoPay Павел Врублевский. Ст. 187 УК, по его словам, описывает деятельность таких номиналов, или, в хакерской терминологии, дропов. «Смысл статьи в том, что человек осуществил перевод денежных средств, заведомо зная, что смысл операции иной, нежели формально заявленный. К примеру, человек переводит $1 тыс. «в долг», а на самом деле это платеж за бизнес-услугу или, как в данном случае, проведение платежей от киберпреступности. Уникальной особенностью статьи является то, что она не имеет нижнего порога суммы — то есть преступление считается совершенным, даже если сумма перевода составила 100 руб.», — сказал Врублевский.
    Возможно, среди задержанных есть участники группы более высокого уровня; вменение только такого состава указывает на то, что «следствие еще не получило иных доказательств, кроме того, что эти лица незаконно перечисляли деньги», считает Врублевский: «Чтобы не наломать дров, сначала применили редкую статью, взяв всех разом как дропов, а потом уже точно распределят роли, кто и правда был просто дроп, а кто нет».
    Следствие пошло по такому пути в связи со «сверхрезонансным» и международным характером дела, полагает Врублевский. «Если бы это был внутрироссийский вопрос — им бы вменили все сразу и потом бы разобрались. Но тут распределенная группа, по которой ранее были аресты за рубежом, само расследование идет вообще совместно с ФБР США, то есть все шаги продумываются сразу с учетом всех аспектов права, в том числе международного».
    Как задержание хакеров скажется на отношениях с США
    В плане отношений России и США разгром REvil может быть незначительным на первый взгляд событием, которое приведет к значительным последствиям, считает программный директор клуба «Валдай», программный директор Российского совета по международным делам, доцент МГИМО Иван Тимофеев.
    «С политической точки зрения это хорошо, потому что показывает, что договоренности по киберпроблематике, которые были достигнуты Байденом и Путиным в Женеве, работают. Как минимум с российской стороны есть стремление обезвреживать группировки, которые наносят ущерб, в том числе и США. Американцы очень избирательно и узко подходили к вопросу о сотрудничестве по киберпроблематике, отказывались сотрудничать по более широкому кругу вопросов, был скепсис. И это событие показывает, что есть определенный результат», — сказал РБК Тимофеев.
    «Сейчас отношения России и США достаточно напряжены, и тот факт, что помимо разногласий у нас есть еще и определенные точки сотрудничества и есть достижения в этой области, — это хорошо. Это не может переломить негативных трендов, которые есть сейчас, не может убедить американцев принять нашу точку зрения по НАТО или другим вопросам, но вносит свой позитивный вклад», — добавил эксперт.

    Эксперты рассказали, как арест REvil отразится на российских компаниях
    Задержание хакеров группировки REvil может пагубно сказаться на благополучии российских компаний. К такому выводу пришли эксперты.
    Русскоязычные киберпреступники могут начать активнее атаковать российские компании, заявил руководитель Лаборатории компьютерной криминалистики Group-IB Олег Скулкин. По его словам, российские хакеры долгое время «не работали по СНГ», так как это было небезопасно, но в последнее время стали увеличивать количество атак. Задержание REvil может подстегнуть их, так как после успешных международных операций они могут забыть про негласные запреты, считает эксперт. Хотя в первое время после ареста REvil киберпреступники могут столкнуться со сложностями с обналичиванием денег, полагает он.
    Руководитель отдела продвижения продуктов компании «Код Безопасности» Павел Коростелев считает, что задержание хакерской группировки лишь временно облегчит жизнь бизнесу. «Это — способ зарабатывания денег, поэтому всегда найдутся люди, готовые рисковать. Если бизнесу и будет полегче, то ненадолго», — сказал он.
    Эксперт считает, что хакеры подождут некоторое время, пока уляжется шумиха вокруг REvil, а затем возобновят атаки на предпринимателей. Киберпреступники могут снизить количество нападений, но не откажутся от них, полагает он.пользоваться.
    Предполагаемых членов группировки REvil задержали 16 января, операция прошла в 14 городах России. REvil — одна из старейших и наиболее агрессивных хакерских групп. Задержание произошло после запроса США и требования американского президента Джо Байдена пресечь деятельность вымогателей.
    В ходе обысков сотрудники ФСБ изъяли у 14 членов REvil более 426 млн руб., $600 тыс. из которых в криптовалюте, €500 тыс., 20 автомобилей премиум-класса, компьютерную технику и криптокошельки, использовавшиеся для совершения преступлений.
    Оператор REvil утверждал, что выручка группировки за 2020 год составила $100 млн. Это делает ее наиболее успешной хакерской группировкой, отметили в «Лаборатории Касперского».
    Хакеры REvil вели атаки в основном на крупные компании. Среди их жертв ключевой партнер Apple — компания Quanta Computer, ИT-гигант Acer и поставщик MSP-решений Kaseya. В США также полагают, что один из членов группировки причастен к кибератаке на американскую трубопроводную компанию Colonial Pipeline в мае прошлого года.
    Следователи МВД просят суд арестовать на два месяца одного из участников группы хакеров REvil, которые были задержаны после обращения компетентных органов США. Об этом РБК сообщили в Тверском суде Москвы.
    По данным суда, задержанного зовут Роман Муромский, он подозревается по ч. 2 ст. 187 УК (неправомерный оборот средств платежей). Максимальное наказание по этой статье предусматривает лишение свободы сроком до семи лет.
    Еще одного подозреваемого по делу группировки зовут Андрей Бессонов, сказали РБК в Тверском суде Москвы.
    «По обращению органов США»: как ФСБ задержала хакеров из группы REvil
    Ранее пресс-служба ФСБ сообщила о ликвидации хакерского сообщества REvil, рассылавшего вирусы для вымогательства денег. Как отметило ведомство, основанием для проведения операции было обращение компетентных органов США. Они сообщили о причастности лидера сообщества к посягательствам на информационные ресурсы зарубежных компаний с помощью внедрения вирусов, шифрования информации и вымогательства денег за ее дешифрование.
    Операция проходила в Москве, Санкт-Петербурге, Московской, Ленинградской и Липецкой областях. У 14 хакеров изъяли свыше 426 млн руб., в том числе в криптовалюте, $600 тыс., €500 тыс. и 20 автомобилей премиум-класса. Всем им предъявлены обвинения по ч. 2 ст. 187 УК.
    В ФСБ уточнили, что также ликвидирована используемая хакерами инфраструктура.
    Revil
    Хакеры атаковали сайты правительства и ГСЧС Украины.
    В России ликвидировали группу хакеров REvil после запроса США
    ФСБ отчиталась о ликвидации хакерской группировки REvil после запроса США
    Сотрудники ФСБ задержали хакеров сразу в пяти регионах России и нашли у них почти 0,5 млрд руб. и валюту. Информацию о хакерах передали российским спецслужбам американцы. Принять меры против хакеров Путина призывал Байден.
    В России ликвидировано хакерское сообщество REvil, сообщила пресс-служба ФСБ. Хакеры атаковали информационные ресурсы зарубежных компаний.
    В ФСБ отметили, что основанием для розыска стало обращение компетентных органов США, «сообщивших о лидере преступного сообщества и его причастности к посягательствам на информационные ресурсы зарубежных высокотехнологичных компаний путем внедрения вредоносного программного обеспечения, шифрования информации и вымогательства денежных средств за ее дешифрование».
    Операция проходила в Москве, Санкт-Петербурге, Московской, Ленинградской и Липецкой областях. У 14 хакеров изъяли свыше 426 млн руб., в том числе в криптовалюте, $600 тыс., €500 тыс., 20 автомобилей премиум-класса.
    «В результате совместных действий ФСБ и МВД России организованное преступное сообщество прекратило существование, используемая в преступных целях информационная инфраструктура нейтрализована. Представители компетентных органов США о результатах проведенной операции проинформированы», — сообщили в ФСБ.


    Задержанным предъявлены обвинения в совершении преступлений, предусмотренных ч. 2 ст. 187 «Неправомерный оборот средств платежей» Уголовного кодекса. Задержаны не только сами хакеры, но и нейтрализована инфраструктура, которую они использовали, уточнили в ФСБ.
    Байден обсудил с Путиным атаки хакеров из России.
    Кибербезопасность была одной из тем саммита президентов России и США Владимира Путина и Джо Байдена в Женеве в июне 2021 года. После переговоров Байден рассказал, что президенты договорились проработать вопрос о том, какие цели не должны подвергаться кибератакам. Он сообщил, что предложил Путину список из 16 секторов инфраструктуры, против которых будут запрещены атаки хакеров.
    В июле 2021 года Байден во время телефонного разговора с Путиным призвал Россию принять меры по пресечению деятельности хакеров, действующих на ее территории, «и подчеркнул, что он полон решимости продолжать борьбу с более широкой угрозой, исходящей от программ-вымогателей». Президент США пообещал, что Вашингтон примет необходимые меры «для защиты своего народа и своей критически важной инфраструктуры перед лицом непрекращающегося вызова».
    В Кремле тогда сообщили, что Путин заявил о готовности России «к совместному пресечению криминальных проявлений в информационном пространстве», но в последний месяц таких обращений от американских ведомств не поступало.
    В 2021 году на предприятия и компании США было совершено несколько крупных кибератак, которые привели к их остановке. Одна из самых громких — атака на крупнейшую на восточном побережье США сеть трубопроводов по поставкам бензина, дизельного топлива и других нефтепродуктов Colonial Pipeline. Прокачка нефтепродуктов была остановлена на несколько дней. В июне 2021 года в США из-за кибератаки встали все заводы крупнейшего производителя мяса компании JBS S.A.
    Зачастую эти атаки в США связывали с «русскими хакерами». Так ФБР сообщило, что кибератаки на филиалы крупнейшего в мире производителя мяса JBS организовала хакерская группировка REvil, также известная как Sodinokibi. В ноябре 2021 года Минфин США ввел санкции против гражданина России Евгения Полянина и гражданина Украины Ярослава Васинского. В ведомстве заявили, что Полянин и Васинский имеют прямое отношение к хакерской группировке REvil.
    В апреле 2021 года атаке REvil подверглась тайваньская компания Quanta Computer — один из основных поставщиков Apple. Как сообщал Bloomberg, хакеры внедрили программу-вымогателя и потребовали выплатить им $50 млн. REvil пытались получить деньги от Apple, заявив, что после взлома Quanta Computer хакеры получили доступ к новейшим разработкам компании, которые они грозились опубликовать.
    Злоумышленники действительно рассылали фейковые электронные письма с адресов ФБР, но получить доступ или взломать какие-либо данные ведомства им не удалось, говорится в сообщении бюро.
    По данным ФБР, неизвестные воспользовались ошибками в настройках программного обеспечения, что позволило им использовать правоохранительный портал LEEP для отправки фейковых писем. LEEP — это ИТ-инфраструктура ФБР, которую ведомство использует для связи с коллегами в штатах и городах. Этот сервис не имеет отношения к внутренней почте ФБР, подчеркнули в ведомстве.
    «Никто не смог получить доступ или взломать какие-либо данные или личные данные из сетей ФБР», — заверили в бюро. Там также заверили, что уже устранили уязвимость.
    Ранее о взломе внешней системы электронной почты ФБР сообщило агентство Bloomberg со ссылкой на британскую организацию Spamhaus, которая отслеживает распространение спам-сообщений.
    Она утверждала, что после взлома хакеры разослали не менее 100 тыс. электронных писем «с предупреждением о возможной кибератаке».
    По данным Spamhaus, рассылка писем, в теме которых было указано: «Срочно: злоумышленник в системе», началась в районе полуночи. Письма отправлялись от имени Министерства внутренней безопасности США и предупреждали получателей о том, что злоумышленником является эксперт по кибербезопасности Винни Троя.
    Хакеры взломали внешнюю систему электронной почты Федерального бюро расследований (ФБР) США. Об этом сообщает Bloomberg со ссылкой на британскую организацию Spamhaus, которая отслеживает распространение спам-сообщений.
    По ее данным, после взлома хакеры разослали не менее 100 тыс. электронных писем «с предупреждением о возможной кибератаке».
    В ФБР заявили, что сотрудники бюро и Агентство по кибербезопасности и защите инфраструктуры США (подчиняется Министерству внутренней безопасности) осведомлены об инциденте, который связан с отправкой поддельных сообщений через учетную запись, заканчивающуюся на @ic fbi gov.
    «Это текущая ситуация, и в настоящее время мы не можем предоставить дополнительную информацию», — цитирует Bloomberg сообщение ФБР.
    В Кремле отказались комментировать разговор Байдена с Путиным о хакерах.
    Глава одного из отделов компании по кибербезопасности BlueVoyant Остин Берглас сообщил Bloomberg, что у ФБР есть несколько систем электронной почты. По его словам, та, которая была взломана, является общедоступной. Ее могут использовать агенты и сотрудники ФБР для электронной переписки с гражданами. Специалист отметил, что для передачи секретной информации агенты используют отдельную систему электронной почты.
    «Это не секретная система, которая была взломана. Это внешняя учетная запись, которая используется для обмена и передачи несекретной информации», — сказал Берглас, который ранее был помощником специального агента, отвечающего за киберотдел ФБР в Нью-Йорке.
    По данным Spamhaus, рассылка писем, в теме которых было указано: «Срочно: злоумышленник в системе», началась в районе полуночи. Письма отправлялись от имени Министерства внутренней безопасности США и предупреждали получателей о том, что злоумышленником является эксперт по кибербезопасности Винни Троя. В прошлом году он провел расследование и раскрыл личности хакеров из группировки The Dark Overlord.
    В Spamhaus заявили, что отправители настоятельно советовали получателям проверить все внутренние системы, несмотря на то что к письмам не было прикреплено какое-либо вредоносное программное обеспечение. Специалисты Spamhaus считают, что злоумышленники могли пытаться опорочить имя Тройи или перегрузить телефонные линии ФБР звонками обеспокоенных людей.

    Новости партнеров

    Комментировать

    осталось 1185 символов
    пользователи оставили 0 комментариев , вы можете свернуть их
    • Регистрация
    • Вход
    Ваш комментарий сохранен, но пока скрыт.
    Войдите или зарегистрируйтесь для того, чтобы Ваш комментарий стал видимым для всех.
    Код с картинки
    Я согласен
    Код с картинки
      Забыли пароль?
    ×

    Напоминание пароля

    Хотите зарегистрироваться?
    За сутки посетители оставили 607 записей в блогах и 4740 комментариев.
    Зарегистрировалось 13 новых макспаркеров. Теперь нас 5031703.