Хакеры требуют от жертв кибератаки на Kaseya 70 млн долларов в биткоинах

Банда хакеров, предположительно связанных с Россией, потребовала от жертв своей кибератаки 70 млн долларов в биткоинах в обмен на "универсальный дешифратор", который, по словам мошенников, сможет вновь открыть все файлы.

Хакеры утверждают, что в результате атаки на американскую IT-компанию Kaseya им удалось получить доступ к миллиону компьютерных систем.

По мнению многих специалистов, за этой атакой могут стоять российские хакеры.

Президент США Джо Байден в связи с этим уже потребовал от спецслужб провести тщательное расследование этой колоссальной кибератаки, которая произошла вскоре после того, как он при встрече с Владимиром Путиным попытался убедить российского президента принять меры по борьбе с киберпреступностью.

Кто пострадал?

От этой изощренной атаки, которая произошла как раз накануне празднования Дня независимости в США, пострадали сотни американских компаний, которые пользовались услугами фирмы Kaseya, предоставляющей программное обеспечение и обслуживающей внутренние компьютерные сети многих компаний.

Точное число жертв еще уточняется, однако уже известно, что помимо американских пострадали и другие фирмы и организации, в частности, 500 шведских супермаркетов сети Coop, две голландские IT-компании и даже 11 школ в Новой Зеландии.

Сама фирма Kaseya утверждает, что пострадали менее 40 ее клиентов. Но поскольку Kaseya предоставляет программное обеспечение компаниям, которые в свою очередь предоставляют ИТ-услуги многим другим компаниям, число жертв может быть значительно больше.

Кто виноват?

Эксперты компании Huntress, занимающейся вопросами кибербезопасности, подозревают в атаке связанную с Россией группировку REvil.

Еще в июне ФБР сообщило, что подозревает именно эту группировку в атаке на крупнейшего в мире поставщика мяса, базирующуюся в Бразилии компанию JBS, которая призналась, что выплатила злоумышленникам 11 млн отступных, поскольку действия хакеров полностью парализовали ее работу.

"Мы не уверены, русские это или нет, - заявил во время визита в Мичиган Джо Байден. - Изначально мы решили, что за этим не стоят российские власти, но мы пока до конца в этом не уверены. Поэтому я отдал распоряжение спецслужбам глубоко разобраться в случившемся".

Во время недавней встречи в Женеве Байден предупредил Путина, что США ответят, если окажется, что новые кибератаки как-то связаны с российскими спецслужбами.

Байден отметил, что пока не говорил с Путиным по поводу последней кибератаки, а Кремль ее никак не комментировал. Однако ранее российский президент называл чепухой любые обвинения России в причастности к кибератакам с целью выкупа.

Почему биткоин?

В самом деле, многие эксперты выражают недоумение по поводу избранной для выкупа криптовалюты, указывая на то, что логичнее было бы требовать не биткоины, а криптовалюту, транзакции с которой намного сложнее отслеживать, например - монеро.

Действительно, в начале месяца Министерство юстиции США объявило о том, что смогло отследить и конфисковать несколько миллионов долларов в биткоинах, заплаченных в качестве выкупа хакерской группировке DarkSide компанией Colonial Oil Pipeline.

"Отслеживание денежных потоков остается самым примитивным и в то же время самым мощным из имеющихся в нашем распоряжении инструментов", - подчеркнула помощница генерального прокурора Лиза Монако.

Более того, как рассказал в интервью Би-би-си основатель и главный специалист компании Elliptic Том Робинсон, который как раз и занимается анализом платежей в криптовалюте, по его сведениям, группировка REvil, несмотря на запрошенные 70 млн, продолжает вести отдельные переговоры о выкупе с небольшими компаниями, и речь там идет о суммах в 200 тыс. долларов.

По словам Робинсона, хотя REvil и предпочитает монеро, осуществить сделку на 70 млн в этой криптовалюте может оказаться очень непросто из чисто практических соображений.

При этом этом эксперт отмечает, что все больше хакеров требуют выкуп именно в монеро.

"Обошли на финишной прямой"

Анализ корреспондента Би-би-си по вопросам кибербезопасности Джо Тайди

Эта последняя кибератака с целью получения выкупа стала большой головной болью для сотен, а то и тысяч IT-компаний по всему миру, и эта головная боль все усиливается.

И тем не менее, мир кибербезопасности проявил невиданную сплоченность в попытке смягчить последствия этой кибератаки.

Пока эксперты решают, как распутать клубок и выявить всех жертв, борцы с киберпреступностью бьют тревогу, предупреждая об опасности. И если бы не их работа, жертв киберпреступников могло бы быть куда больше.

Впрочем, как мы теперь знаем, о секретной цифровой лазейке в системе безопасности MSR-провайдера Kaseya, которой воспользовались хакеры REvil, было известно еще до атаки.

Исследователи из голландского Института раскрытия уязвимостей, обнаружившие проблему, помогали Kaseya залатать дыру в системе безопасности еще до того, как эту дыру нашли хакеры.

Это был тот самый случай, когда хорошие хакеры соревновались с плохими на скорость, но, как сказали в Институте, REvil обошел их на финишной прямой.

Этот случай наглядно продемонстрировал, насколько умелыми и целеустремленными могут быть преступники, и что несмотря на все усилия специалистов по кибербезопасности нередко мы проигрываем гонку охотникам за выкупом.