Украинскому хакеру грозит 115 лет тюрьмы. От него пострадали Apple и шведские супермаркеты

Американский минфин 8 ноября ввел санкции против украинского хакера и его российского подельника — они атаковали американские компании с целью вымогательства. Мишенью хакеров были организации, работающие в сфере обороны и других важных направлениях. При этом от их действий страдали бизнесы из других стран.

22-летнего украинца Ярослава Васинского и 28-летнего россиянина Евгения Полянина обвиняют в сговоре с целью совершения мошенничества и отмывания денег. По данным американского следствия, Васинский совершил около 2500 атак, которые принесли ему $2,3 млн. Украинец задержан, по американским законам ему грозит 115 лет тюрьмы.

Россиянин, совершивший около 3000 атак и завладевший $13 млн, пока на свободе, но ему светит 145 лет заключения. Минфин США внес Васинского и Полянина в "черный список", SND list. У участников этого списка арестовывают активы, а американцам запрещено вести с ними дела. 

Liga.Tech разобрала эту историю.

Что произошло?

Ярослава Васинского арестовали в октябре в Польше. Его обвиняют в использовании для взломов программы-вымогателя REvil. Утверждается, что с ее помощью украинский хакер ограбил американские компании на $2,3 млн – им приходилось платить, чтобы вернуть доступ к сетям.

Правоохранители считают, что последняя крупная кибератака была совершена Васинским в июле этого года – он использовал "вымогателя" против флоридской компании по разработке ПО HX5, которая заразила потом сети около полутора тысяч организаций по всему миру. 

Васинский и другой хакер, использовавший REvil, гражданин России Евгений Полянин, обвиняются в сговоре с целью совершения мошенничества и отмывания денег. Американские правоохранители во время расследования арестовали около $6,1 млн, связанных с Поляниным, на криптовалютной бирже FTX. Эти деньги он мог получить, требуя выкуп у зараженных вирусом компаний. 

Сейчас 22-летний украинец находится под стражей в Польше, его ждет экстрадиция в США. 28-летний россиянин Полянин пока остается на свободе. Госдепартамент США объявил о вознаграждении в размере до $10 млн за информацию о личностях и местонахождении руководства группировки REvil. За информацию о других хакерах REvil предлагают $5 млн. 

Президент США Джо Байден уже сделал заявление по поводу кибератак на американские организации. Он пообещал задействовать все силы федерального правительства для пресечения кибермошенничества и борьбы с использованием криптовалют для отмывания выкупов. 

Кто такие REvil?

REvil – группировка киберпреступников, чью деятельность связывают с Россией. В истории группировки – несколько громких атак на крупные американские корпорации и правительственные сайты. Хакеры блокируют доступ к системам компаний, требуют выкуп, а если компания не платит его, REvil угрожают опубликовать ее конфиденциальные данные в своем блоге Happy Blog в даркнете.

В начале 2021 года REvil потребовали от Apple выкуп в $50 млн после взлома одной из компаний-поставщиков. Хакеры взломали компанию Quanta и обнародовали данные о новых MacBook – о портах и слотах, кодовых названиях и типах зарядки. Часть взломанной информации хакеры не опубликовали. Исходя из того, что все, связанное с Apple, с сайта REvil удалили, вероятно, компания в итоге заплатила выкуп. 

ФБР также обвиняет REvil в атаке программ-вымогателей на JBS USA, совершенную в мае. На долю этой компании приходится около пятой части производства говядины в США. Из-за кибератаки JBS пришлось остановить производство в филиалах в Австралии, Канаде и США. За разблокировку сетей компания заплатила хакерам $11 млн. 

Подписывайтесь на LIGA.Tech в Telegram: только важное

2 июля 2021 года REvil совершила кибератаку на американскую компанию Kaseya, которая занимается поставками корпоративного ПО. Вирусы распространились по сетям клиентов компании, из-за чего от атаки пострадали 200 компаний. Как утверждают хакеры, благодаря атаке на Kaseya им удалось получить доступ к миллиону компьютерных систем по всему миру. В качестве выкупа они требовали $70 млн в биткоинах. 

Одной из 200 пострадавших компаний, которые изначально не были целью хакеров, оказалась шведская сеть супермаркетов Coop. После кибератаки на Kaseya Coop пришлось временно закрыть около 500 магазинов – более половины из всех супермаркетов сети. В них перестали работать кассы. 

Атака на Kaseya произошла вскоре после встречи президентов США и России. На саммите в Женеве в июне Байден потребовал от Путина сдерживать кибератаки и передал российскому президенту список из 16 важнейших секторов инфраструктуры, которые не должны подвергаться взлому.

По словам генпрокурора США Меррика Гарланда, REvil заразили примерно 175 000 компьютеров по всему миру, общая сумма выкупов достигла $200 млн. 

В июле доступ к сайтам и инфраструктуре REvil пропал. Версий произошедшего было несколько – от добровольного "ухода на дно" до намеренной блокировки сайтов провайдерами вследствие давления западных правительств. 

В сентябре румынские специалисты нашли решение проблемы REvil. Компания Bitefender, работающая в области кибербезопасности, представила дешифратор для жертв группировки. Программа поможет жертвам атак REvil восстановить зашифрованные файлы при условии, что они не были удалены.

В своем блоге Bitefender пишет о "надежном партнере в правоохранительных органах", который помог создать дешифратор. В компании заявили, что не могут предоставить больше никакой информации из-за продолжающегося расследования.