Базирующийся в России преступный синдикат, стоящий за серией недавних разрушительных кибератак с применением программ-вымогателей ушел в офлайн.
Однако эксперты по кибербезопасности заявили, что пока рано строить предположения, почему это произошло, и что нет никаких признаков того, что это связано с вмешательством правоохранительных органов.
Сайт хакерской группировки REvil и порталы в даркнете, на которых она вела переговоры о выкупе, были недоступны, сообщили исследователи в области кибербезопасности.
Your browser doesn’t support HTML5
Группировка совершила атаки на производителя мясопродуктов JBS в мае и на цепочку поставок компании Kaseya в этом месяце. Последний случай затронул более тысячи предприятий во всем мире.
REvil считается одной из самых преуспевающих киберпреступных организаций в мире. Только в 2021 году она взломала более 360 объектов в США, используя программу-вымогатель, которая блокирует компьютеры жертвы и требует выкуп в обмен на программу-дешифратор и обещание не допускать утечки конфиденциальных файлов.
В телефонном разговоре с президентом России Владимиром Путиным в пятницу президент США Джо Байден заявил, что Москва должна обуздать базирующиеся в России группировки, и предупредил, что США имеют право защищать свое население и критическую инфраструктуру от атак.
Однако нет никаких заметных признаков того, что уход REvil в офлайн связан с действиями властей.
Возможно, группировка затаилась после атаки или сменила методы, «поскольку была разоблачена», заявил исследователь угроз из SecurityScorecard Райан Шерстобитофф.
«Может быть, у них отказал сервер, или он был намеренно выведен из строя, или кто-то атаковал их хост», – заявил Шон Галлахер, исследователь угроз в компании Sophos, работающей в сфере кибербезопасности.
Он отметил, что публичный сайт, на котором REvil вела переговоры о выкупе, также перестал работать на прошлой неделе.
Представители Белого дома и Кибернетического командования США отказались от комментариев во вторник.
«Мы не видели никаких признаков ни добровольного отключения, ни наступления правоохранительных органов, – заявил Алекс Холден, основатель и главный специалист по информационной безопасности компании Hold Security. – Сейчас, пожалуй, еще рано строить догадки, особенно учитывая, что REvil наращивала свои силы в последние месяцы».
«Всегда есть небольшая надежда, что Россия, наконец, делает что-то правильное», – добавил он.
Варианты программ-вымогателей ранее исчезали в связи с тем, что стоящие за ними преступники переналаживали и модифицировали их, прежде чем представить под новой личиной.
Именно это, по мнению аналитиков, произошло с предшественником REvil – программой Gandcrab, разработчики которой отдавали ее в пользование другим хакерам. С января 2018 года по март 2019 она была самой успешной программой такого рода.