Pasaulē lielākā ransomware banda tikko pazuda no interneta

Džordana Harisona fotoattēls vietnē Unsplash





Otrdienas rītā no interneta pēkšņi pazuda viena no ražīgākajām ransomware bandām pasaulē. Neizskaidrojama izceļošana notiek tikai vienu dienu pirms Baltā nama un Krievijas augstāko amatpersonu tikšanās, lai apspriestu globālo izspiedējvīrusu krīzi.

Izspiedējvīrusu komanda, kas pazīstama kā REvil, jau gadiem ilgi pastāv plaukstošajos kibernoziedzības pagrīdē. Milzīgs 42% no visiem nesenajiem izspiedējvīrusu uzbrukumiem izsekot līdz šai bandai, taču viņi ir īpaši pazīstami ar diviem uzlaušanas gadījumiem. Šī mēneša sākumā banda skāra vismaz 1000 uzņēmumu uzbrūkot programmatūras kompānijai Kaseya. Tā bija viena no plašākajām izspiedējvīrusu kampaņām, kas jebkad veikta. Un pagājušajā mēnesī REvil sist gaļas piegādātāju JBS un pieprasīja samaksāt 11 miljonus dolāru. Pat tad, kad pasaules līderi pievērsa uzmanību izpirkuma programmatūrai un draudēja ar rīcību, REvil līdz šim bija izaicinošs.

Tas ir neliels haoss, kad mēs cīnāmies, lai noskaidrotu, kas notiek, saka Alans Liska, drošības firmas Recorded Future vecākais draudu analītiķis. Mēs esam piesardzīgi optimistiski, ka viena no lielākajām bandām ir izveidota.



Ir daži iespējamie skaidrojumi, kas izraisīja šodienas izslēgšanu. Pirmkārt, pati banda, iespējams, ir izvēlējusies aiziet pensijā, ja ir nopelnījusi pietiekami daudz naudas vai izjutusi pārāk lielu spiedienu. Iespējams, Amerikas Savienotās Valstis vai to sabiedrotie tos ir veiksmīgi izmantojuši bezsaistē. Vai arī Krievijas valdība starptautiskajā uzraudzībā, iespējams, ir piespiedusi tos slēgt. Viņu pazušana varētu būt arī īslaicīga — daudzi kibernoziedznieki izliekas, ka aiziet pensijā, pirms galu galā atkal parādās ar jaunu identitāti.

Mēs iesakām neizdarīt nekādus tūlītējus secinājumus, jo tas ir agri, taču REvil patiešām ir viena no nežēlīgākajām un radošākajām izspiedējvīrusu grupām, kādu mēs jebkad esam redzējuši, saka Ekrams Ahmeds, Check Point Software pārstāvis.

Atbilde ir neskaidra, un plašāka izspiedējvīrusu problēma joprojām ir liela.



Es nezinu, ko tas nozīmē, bet neatkarīgi no tā, es esmu laimīgs! tvītoja Ketija Nikelsa, ASV uzņēmuma Red Canary izlūkošanas direktore. Ja tā ir valdības nojaukšana – lieliski, viņi rīkojas. Ja aktieri labprātīgi apklusa - lieliski, iespējams, ka viņi nobijies. Joprojām ir svarīgi atcerēties, ka tas neatrisina izpirkuma programmatūru.

Kāpēc izpirkuma programmatūras krīze pēkšņi jūtas tik nerimstoša

Uzbrukumi lielajiem uzņēmumiem un kritiskajai infrastruktūrai ir izraisījuši ASV paniku, taču problēmas saknes meklējamas gadiem senā pagātnē.

Visas REvil bandas izmantotās vietnes, tostarp tās, kurās grupa publicē zagtus datus, tagad ir bezsaistē. Tomēr vēl nozīmīgāk ir tas, ka visa infrastruktūra un datori, ko banda izmanto uzbrukumu veikšanai, otrdienas rītā ap pulksten 8 pēc Maskavas laika tika izslēgti, skaidro Liska. Arī grupas pārstāvis ir bijis neaktīvs gandrīz nedēļu.



Ransomware vietnes tiek mitinātas ar ložu necaurlaidīgu mitināšanu, un tās ir nestabilas, tās visas iet uz augšu un uz leju, saka Liska. Bet tie nekad neiet uz augšu un uz leju vienā un tajā pašā laikā.

REvil ir krieviski runājoša grupa, viņu rakstītā ļaunprogrammatūra izvairās no Krievijas datoriem, un tās ir saistītas ar citām grupām, kuras, domājams, atrodas Krievijā. Pēc šī mēneša masveida uzbrukuma Baltā nama preses sekretāre Džena Psaki sacīja: Ja Krievijas valdība nevarēs vai nevēlēsies vērsties pret noziedzniekiem Krievijā, mēs rīkosimies vai paturēsim tiesības.

Tā kā rītdienas ASV un Krievijas sammitā galvenā uzmanība tiks pievērsta izspiedējvīrusu programmatūrai, šķiet, ka saruna var atšķirties no sākotnēji gaidītā.



Laiks ir aizraujošs. Tas ir tieši pēc Kasejas uzbrukuma un tieši pirms rītdienas samita,' saka Liska. Viņi tikko veica neapšaubāmi lielāko izspiedējvīrusu [uzbrukumu] vēsturē. Es domāju, ka tā nav nejaušība, lai no šī līmeņa pārietu uz slēgšanu.

paslēpties