У ФБР неделями были ключи, пока хакеры REvil шифровали сотни компаний
В течение трёх недель во время атак группировки REvil этим летом Федеральное бюро расследований молча хранило ключ, который вернул бы из-под контроля вымогателей-шифровальщиков захваченные данные и компьютерные сети 1,5 тысяч организаций: компаний, школ и больниц.
Как выяснил Washington Post, ФБР смогло проникнуть на серверы группировки и получить ключ. Но после совещания с другими ведомствами было решено не передавать его жертвам, а ждать, чтобы не спугнуть злоумышленников и прикрыть их.
Вместо этого 13 июля REvil внезапно скрылась, оставив бюро ни с чем. По непонятным причинам ключ оно раскрыло только 21 июля.
«Мы принимаем решения сообща, а не поодиночке. Это сложные решения, которые должны иметь максимальный эффект. Необходимо время на борьбу с врагом, в которой нам необходимо мобилизовать ресурсы не только в стране, но и во всём мире», — пояснил директор ФБР Кристофер Рэй во время выступления в Конгрессе.
Российская группировка REvil вышла на сцену в 2019 году и организовала агрессивную кампанию в этом году. В марте хакеры взломали юридическую фирму, которая работает со знаменитостями, и потребовали $21 млн. Компания проигнорировала требование, после чего преступники удвоили сумму выкупа и начали выкладывать захваченные файлы её клиентов. В апреле они слили материалы по двум продуктам Apple, украденные у её партнёра Quanta Computer, в мае атаковали трубопроводную систему Colonial Pipeline, вызвав перебои с поставками топлива в США, а летом пришёл черёд крупнейшего в мире поставщика мяса — бразильской JBS. В июле через 0day-уязвимость в инструменте айтишной компании Kaseya хакеры получили доступ к 54 сервис-провайдерам, управляющих сетями 1,5 тысяч компаний и организаций. Атакам также подвергались учреждения в Швеции, Новой Зеландии, Румынии.
На прошлой неделе ИБ-специалисты из Bitdefender выпустили универсальный дешифратор для сетей и устройств, заблокированных REvil до исчезновения в июле — им уже воспользовалось около 250 пострадавших. Ключ, по словам разработчиков, был получен от властей, но не от ФБР.
Так или иначе, группировка снова заявила о себе в этом месяце рядом новых атак, мишенью которых уже стало минимум 8 жертв. Инструмент Bitdefender в их случае не работает.
«Каждый раз мы задаёмся вопросами: В чём будет ценностью ключа, если его раскрыть? Каково число жертв? Кому можно помочь? — говорит осведомлённый источник WP, пожелавший остаться анонимным. — И напротив, насколько ценна будет более долгосрочная операция по разрушению экосистемы? Вот те вопросы, которые всегда будут лежать на чашах весов».
Релоцировались? Теперь вы можете комментировать без верификации аккаунта.
Ну че, в моду снова войдет личное общение, бумажный документооборот и разговоры тет а тет, выключение телефонов.