СМИ сообщили об отключении сайтов крупной «российской» хакерской группировки
Сайты в даркнете, связанные с хакерской группировкой REvil, во вторник внезапно перестали работать. Группа известна вирусами-вымогателями: в частности, именно ее ФБР посчитала ответственной за взлом крупного поставщика мяса JBS. Американские СМИ связывают хакеров из REvil с Россией и гадают, что стало причиной ее отключения: давление Байдена на Путина или она сама решила уйти в тень
Во вторник, 13 июля, в даркнете перестали открываться сайты, связанные с крупной группировкой хакеров-вымогателей REvil, написал CNBC. Телеканал сам убедился, что ресурсы не работают, после того, как об этом стали сообщать специалисты по кибербезопасности. Владелец компьютерной компании BleepingComputers Лоуренс Адамс написал в Twitter, что отключены все сайты REvil, в том числе те, через которые хакеры получали деньги от жертв и где публиковали украденные данные. О том, что группа ушла в офлайн, сообщила и The New York Times.
ФБР 2 июня назвала REvil, также известную как Sodinokibi, ответственной за крупную атаку на бразильскую компанию JBS — крупного мирового поставщика мяса. В результате атаки JBS пришлось приостановить работу мясокомбинатов в США. JBS в итоге выплатила хакерам в биткоинах сумму, эквивалентную $11 млн, чтобы вернуть себе контроль над своими системами, рассказал The Wall Street Journal гендиректор Андре Ногейра. Кроме того, REvil организовала атаку на одного из подрядчиков Apple — тайваньскую компанию Quanta, которая производит ноутбуки MacBook и другие устройства американской компании, написал портал The Record. Его источник сообщил, что хакеры требовали выплатить им $50 млн, иначе грозились опубликовать схемы устройств Apple. В марте The Record писал, что такую же сумму REvil требовала от другого производителя компьютеров — Acer. Сообщения о своих жертвах и их внутренние данные хакеры публиковали в «Счастливом блоге» (Happy blog), который тоже оказался недоступен 13 июля, отметила NYT.
REvil также связывают с масштабной атакой на бизнес 2 июля: как писал Bloomberg, затронуты были больше 1000 организаций. Одной из целей атаки стал производитель программного обеспечения Kaseya. Он оценил число затронутых атакой бизнесов в 800-1500.
Атака «связанных с Россией» хакеров затронула более 1000 бизнесов
Что стало причиной отключения сайтов REvil 13 июля, неясно, утверждает CNBC. Он сообщил, что при попытке открыть страницу появляется сообщение, что соответствующий сервер не найден. Представитель совета национальной безопасности США отказался от комментариев телеканалу.
The New York Times назвала REvil «самой агрессивной группой хакеров-вымогателей России» и «крупнейшей» подобной группой. Газета написала, что сайты пропали примерно в 1:00 ночи по восточному времени США (8:00 мск). Из-за отключения в том числе сайтов, где жертвы вели переговоры о выплате выкупа, некоторые пострадавшие компании лишились возможности договориться с вымогателями и восстановить свою работу, отметила NYT.
Мошенники по приколу: кто они — русские хакеры?
NYT предложила три возможных причины отключения сайтов REvil. Она обратила внимание, что это произошло вскоре после телефонного разговора президента США Джо Байдена с Владимиром Путиным, о котором сообщили 9 июля. Одной из тем разговора стала хакерская атака в начале месяца. Байден обсудил с Путиным «хакерские атаки находящихся в России преступников, в которых использовалось вымогающее программное обеспечение и которые затронули США и другие страны» и потребовал от Путина принять меры, заявил тогда Белый дом. В тот же день он ответил на вопрос журналиста, могут ли США отключить серверы российских киберпреступников, Байден ответил «да», сообщала NYT.
По мнению газеты, Байден мог приказать Кибернетическому командованию США уничтожить ресурсы хакеров. NYT отметила, что в прошлом году командование уже справлялось с такой задачей, когда заблокировала хакеров из-за опасений, что те помешают организации выборов президента. Вторая версия заключается в том, что Владимир Путин приказал российским спецслужбам «выключить» хакеров. В таком случае это «жест внимания» Путина к словам Байдена, считает NYT. Третья ее версия — хакеры сами ушли в тень, поскольку решили, что обстановка слишком накалилась, и не хотели «попасть под перекрестный огонь президентов России и США». Так же поступила другая крупная группировка Darkside, известная недавней крупной атакой на оператора трубопроводов Colonial Pipeline, заметила NYT, отметив, что Darkside тоже связывают с Россией.