От Трампа до мяса: кто стал жертвой хакеров REvil

ФБР считает группировку REvil ответственной за атаку на поставщика мяса JBS

Seth Wenig/AP
ФБР заявило о причастности русскоязычной хакерской группировки REvil к кибератаке на поставщика мяса JBS. Эти киберпреступники известны тем, что ранее они шантажировали бывшего президента США Дональда Трампа, а также американского производителя техники Apple. О самых громких преступлениях REvil и о том, как хакеры выбирают себе жертв, — в материале «Газеты.Ru»

Стало известно название группировки, которая стоит за атакой на одного из крупнейших мировых поставщиков мяса JBS, сообщает портал The Verge со ссылкой на заявление ФБР.

«Мы приписали атаку на JBS группировке REvil (Sodinokibi) и усердно работаем над тем, чтобы привлечь ее участников к ответственности,» — сообщил представитель ФБР.

Атака с использованием программы-вымогателя на JBS произошла 30 мая. Возникли серьезные сбои в работе информационных систем, и компании пришлось приостановить работу всех ее заводов по производству говядины в США. На текущий момент ситуация стабилизировалась, и JBS постепенно восстанавливает работу в обычном режиме.

Группировка REvil, которую западная пресса часто причисляет к «российским», ранее была замечена в атаках на Apple и бывшего президента США Дональда Трампа. Так, в апреле этого года хакеры взломали Quanta Computer, одного из тайваньских производителей комплектующих, который является партнером ряда крупных технологических компаний.

В результате REvil получили доступ к чертежам новейших продуктов Apple. Хакеры потребовали, чтобы Apple «выкупила» украденные документы к 1 мая 2021 года, иначе они будут сливать секретные материалы в общий доступ.

Позже хакеры перестали публиковать украденные у Apple схемы, хотя до этого всегда выполняли свои угрозы. Остается неизвестным, заплатила ли Apple злоумышленникам

В 2020 году киберпреступники опубликовали компромат на президента США Дональда Трампа, выложив в открытый доступ юридические документы, договоры и электронные письма, так или иначе связанные с политиком. Хакеры запрашивали выкуп за украденные данные в размере $42 млн в криптовалюте, однако тогда ФБР запретило его выплачивать, ссылаясь на закон, запрещающий сделки с террористами.

Как сообщил «Газете.Ru» старший эксперт по кибербезопасности в «Лаборатории Касперского» Денис Легезо, вредоносное ПО REvil (оно же Sodin или Sodinokibi) известно с 2019 года.

«Этот зловред может как зашифровать данные, так и украсть их. Он распространяется на специализированных форумах «по подписке». В атаке участвуют две группы злоумышленников: одни находят брешь в защите организации и внедряют туда REvil, который был создан другими людьми. После шифрования или кражи данных у жертвы требуют выкуп, в случае успеха он делится между этими группами», — объяснил Легезо.

По словам аналитика центра мониторинга и реагирования на инциденты ИБ Jet CSIRT компании «Инфосистемы Джет» Никиты Комарова, одним из самых громких дел данной группировки является успешная атака на электроэнергетическую компанию Elexon. Кроме того, жертвами группировки становились такие бренды, как Asteelflash, Acer, The Hospital Group, ISP Telecom Argentina S.A. и др.

«Основная мишень группировки — компании с крупным бюджетом. Это позволяет злоумышленникам в случае успешной атаки требовать у жертв несколько десятков или сотен миллионов долларов», — уточнил Комаров.

Группировка REvil является разработчиком вредоносного ПО, шифрующего и удаляющего все копии пользовательских данных жертвы. Также злоумышленники предоставляют услуги по давлению на пострадавшие компании. При переговорах со своими жертвами они угрожают не дальнейшим шифрованием данных, а их публикацией в открытых источниках — именно это больше всего пугает пострадавшие организации, и им ничего иного не остается, как только заплатить выкуп, резюмировал эксперт.