ФБР молча хранило ключ, пока группировка REvil шифровала данные тысяч компаний

В течение трёх летних недель Федеральное бюро расследований (ФБР) США молча наблюдало за тем, как преступная группа REvil с целью выкупа шифровала информационные системы многочисленных компаний и организаций, включая больницы, школы и коммерческие предприятия.

arstechnica.com

По имеющимся данным, ФБР проникло на серверы преступного сообщества с целью похищения ключа, но после обсуждения проблемы с другими правоохранительными ведомствами решило не рассылать его потерпевшим, продолжив наблюдать за деятельностью преступников. Раскрыть личности злоумышленников не удалось. 13 июля группировка буквально растворилась в Сети.

«Мы принимаем решения группой, не в одностороннем порядке. Это комплексные решения, предусматривающие максимальный эффект. Необходимо время на то, чтобы выступить против противников в случаях, где мы должны мобилизовать ресурсы не только в стране, но и по всему миру», — заявил глава ведомства Кристофер Рэй (Christopher Wray) в своём выступлении перед американскими конгрессменами.

Известно, что REvil годами использует жёсткие тактики вымогательства денег у жертв. Впервые преступное сообщество дало о себе знать в 2019 году и активно действовало весной-летом текущего года. Известно, что в марте злоумышленники взломали серверы юридической фирмы, представляющей интересы U2, Мадонны, Леди Гаги, потребовав выкуп в размере 21 миллиона долларов. Когда юристы отказались платить, преступники удвоили сумму и опубликовали некоторые файлы Леди Гаги.

В апреле были украдены данные у производителя Quanta Computer, благодаря чему в Сеть попали данные двух продуктов Apple. В мае пострадали информационные системы американской трубопроводной компании Colonial Pipeline, из-за чего начались перебои с поставками топлива в значительной части США, а летом атакам подверглись серверы одного из крупнейших в мире мясопереработчиков JBS, что привело к остановке заводов в Соединённых Штатах, Канаде и Австралии. Наконец, использование уязвимости в инструментах удалённого управления, разрабатываемых компанией Kaseya, позволило REvil получить доступ к управлению сетевой инфраструктурой более 1500 коммерческих и некоммерческих организаций по всему миру, после чего данные многочисленных жертв были зашифрованы.

В прошлый четверг компания Bitdefender опубликовала универсальный инструмент для дешифровки данных. Пока его использовали 250 компаний. По некоторым данным, ключ, позволивший расшифровать информацию, предоставлен компании одним из правоохранительных ведомств США, но не ФБР.

Несмотря на все попытки правоохранительных органов положить конец деятельности REvil, атаки возобновились. В этом месяце пострадали как минимум 8 новых компаний, причём выпущенный Bitdefender инструмент в новых случаях уже не работает. Похоже, что злоумышленники усовершенствовали свои технологии после краткого отсутствия.