Вчера, 8 ноября, Департамент юстиции США объявил о недавних действиях, предпринятых против двух иностранных граждан, обвиняемых в использовании программы-вымогателя Sodinokibi / REvil для атак на предприятия и государственные учреждения в Соединенных Штатах.
Обнародовано также обвинительное заключение в отношении 22-летнего Ярослава Васинского (Yaroslav Vasinskyi), гражданина Украины, согласно которому он обвиняется в проведении атак с использованием программ-вымогателей, включая атаку в июле 2021 года на международную компанию по разработке программного обеспечения для информационных технологий Kaseya.
Департамент также объявил сегодня об аресте средств на сумму 6,1 млн долларов, связанных с предполагаемыми выплатами выкупа, полученными 28-летним Евгением Поляниным, гражданином России, которому также предъявлены обвинения в проведении атак с использованием программ-вымогателей Sodinokibi / REvil против нескольких жертв, в том числе предприятий и государственных организаций в Техас в августе 2019 года.
Согласно обвинительному заключению, Васинский и Полянин получили доступ к внутренним компьютерным сетям нескольких компаний-жертв и использовали программу-вымогатель Sodinokibi / REvil для шифрования данных на компьютерах компаний-жертв.
«Киберпреступность представляет собой серьезную угрозу для нашей страны: нашей личной безопасности, здоровью нашей экономики и нашей национальной безопасности», - сказал генеральный прокурор Гарланд. «Наше послание сегодня ясно. Соединенные Штаты вместе с нашими союзниками сделают все, что в наших силах, чтобы выявить виновных в атаках программ-вымогателей, привлечь их к ответственности и вернуть средства, которые они украли у своих жертв».
«Наше послание к преступникам-вымогателям однозначно: если вы нацелены на жертв здесь, мы будем нацелены на вас», - сказал заместитель генерального прокурора Монако. «Группа вымогателей Sodinokibi / REvil атакует компании и критически важные инфраструктуры по всему миру, и сегодняшние объявления показали, как мы будем сопротивляться. Еще одним успехом недавно созданной Департаментом целевой группы по программам-вымогателям и цифровому вымогательству, преступники теперь знают, что мы заберем вашу прибыль, вашу способность путешествовать и - в конечном итоге - вашу свободу. Вместе с нашими партнерами в стране и за рубежом Департамент продолжит устранение групп программ-вымогателей и нарушит экосистему киберпреступников, которая позволяет программам-вымогателям существовать и угрожать всем нам».
«Арест Ярослава Васинского, обвинения против Евгения Полянина и конфискация его активов на 6,1 миллиона долларов, а также аресты двух других участников Sodinokibi / REvil в Румынии являются кульминацией тесного сотрудничества с нашими международными партнерами, правительством США и особенно с нашими партнерами из частного сектора», - сказал директор ФБР Кристофер Рэй. «ФБР творчески и неустанно работало, чтобы противостоять преступным хакерам, стоящим за Sodinokibi / REvil. Подобные группы программ-вымогателей представляют серьезную неприемлемую угрозу нашей безопасности и нашему экономическому благополучию. Мы продолжим широко нацеливаться на их действующих лиц и посредников, их инфраструктуру и их деньги, где бы они ни находились».
«Программы-вымогатели могут нанести вред бизнесу за считанные минуты. Эти двое обвиняемых использовали один из самых опасных кодов Интернета, созданный REvil, для взлома компьютеров жертв», - сказал и.о. Поверенный Чад Э. Мичем от Северного округа Техаса. «В течение нескольких месяцев Министерство юстиции установило виновных, произвело арест и изъяло значительную сумму денег. Департамент будет копаться в самых темных уголках Интернета и самых дальних уголках земного шара, чтобы выследить киберпреступников».
Согласно судебным документам, Васинский якобы несет ответственность за атаку программы-вымогателя 2 июля на компанию Kaseya. В предполагаемой атаке на Kaseya Васинский вызвал развертывание вредоносного кода Sodinokibi / REvil по всему продукту Kaseya, в результате чего производственная функциональность Kaseya развернула вымогатель REvil на «конечных точках» в клиентских сетях Kaseya. После установления удаленного доступа к конечным точкам Kaseya на этих компьютерах была запущена программа-вымогатель, что привело к шифрованию данных на компьютерах организаций по всему миру, которые использовали программное обеспечение Kaseya.
После развертывания вымогателя Sodinokibi / REvil обвиняемые якобы оставляли электронные заметки в виде текстового файла на компьютерах жертв. В заметках был указан веб-адрес, ведущий к сети конфиденциальности с открытым исходным кодом, известной как Tor, а также ссылка на общедоступный адрес веб-сайта, который жертвы могли посетить для восстановления своих файлов. При посещении любого из веб-сайтов жертвы получали требование выкупа и предоставляли адрес виртуальной валюты, чтобы использовать их для выплаты выкупа. Если жертва платила выкуп, ответчики предоставляли ключ дешифрования, и жертвы получали доступ к своим файлам. Если жертва не платила выкуп, ответчики обычно публиковали украденные данные жертвы или утверждали, что продали украденные данные третьим лицам, и жертвы не могли получить доступ к своим файлам.
Васинскому и Полянину по отдельности предъявлены обвинения в сговоре с целью совершения мошенничества и связанной с ним деятельности, связанной с компьютерами, существенных подсчетах ущерба защищенным компьютерам и в заговоре с целью отмывания денег. В случае признания виновным по всем статьям каждому грозит максимальное наказание в виде 115 и 145 лет лишения свободы соответственно.
6,1 миллиона долларов, изъятые у Полянина, предположительно связаны с атаками программ-вымогателей и отмыванием денег, совершенными Поляниным с помощью вымогателя Sodinokibi / REvil. Ордер на арест был выдан в Северном округе Техаса. Считается, что Полянин находится за границей.
8 октября Васинский был взят под стражу в Польше, где он остается под стражей властей в ожидании разбирательства в связи с его запросом об экстрадиции в Соединенные Штаты в соответствии с соглашением об экстрадиции между Соединенными Штатами и Республикой Польша. Параллельно с задержанием во многих странах проводились допросы и обыски, которые были бы невозможны без быстрого реагирования Национальной полиции Украины и Генеральной прокуратуры Украины.
Источник: https://www.justice.gov/opa/pr/ukrainian-arrested-and-charged-ransomware-attack-kaseya