ФБР обвинили в скрытии ключа расшифровки зловреда REvil

По информации издания Washington Post, Федеральное бюро расследований США (ФБР) не стало сразу помогать в разблокировке компьютеров сотен предприятий и учреждений, пострадавших от крупной атаки вирусов-вымогателей этим летом. У ведомства был ключ для разблокировки, полученный через сервер российских хакеров, стоящих за атакой, но оно почти три недели скрывало его. Из-за этого, как указало издание, частные компании понесли убытки на миллионы долларов.

a31c5f20c828b5d32f778c48a20e7341.jpg

По данным американских спецслужб, хакерская группировка REvil (она же Sodinokibi), летом ежемесячно проводила не менее 15 кибератак в месяц. В апреле она взломала тайваньскую компанию Quanta Computer и получила доступ к некоторым документам и чертежам новых и ещё не анонсированных устройств Apple, потребовав выкуп в размере $50 млн. В июне REvil атаковала серверы крупного производителя мяса JBS. Производитель был вынужден выплатить $11 млн в обмен на разблокировку. В начале июля REvil взяла на себя ответственность за атаку на серверы Kaseya, вызвавшие перебои в работе организаций в шести странах мира. В общем на разблокировку она потребовала у компании $70 млн.

По приблизительным подсчётам да первые две недели июля хакеры провели атаки, затронувшие от 800 до 1500 предприятий по всему миру. В середине июля REvil исчезла из даркнета. Тогда же Госдепартамент США назначил награду в размере $10 млн за информацию, которая позволит установить личности киберпреступников.

21 сентября Washington Post рассказало, что ФБР получило ключи для разблокировки компьютеров с серверов российских хакеров. Тем не менее, ведомство не применяло его в течение трёх недель с момента получения. Из-за этого американские компании понесли убытки на миллионы долларов, которых можно было бы избежать, применив ключ сразу.

ФБР заверило, что сохранило в тайне получение ключа с согласия других агентств. Это было необходимо для того, чтобы не предупреждать хакеров перед проведением операции по уничтожению REvil. Однако эта операция не состоялась, поскольку злоумышленники самостоятельно исчезли из сети. В итоге ведомство поделилось ключом с Kaseya 21 июля — через 19 дней после взлома. Компания попросила новозеландское предприятие Emsisoft создать новый инструмент для расшифровки, который Kaseya выпустила на следующий день.

Директор ФБР Кристофер А. Рэй во время дачи показаний в Конгрессе указал, то задержка частично связана с совместной работой с союзниками и другими агентствами. Ведомство не может принимать решения по таким вопросам в одностороннем порядке. Кроме того, бюро в первую очередь занялось проверкой безопасности ключа, что также заняло время.

Представитель Emsisoft возразил, указав, что тест и создание дешифратора в общей сложности заняло у специалистов компании около десяти минут. Если бы они не были знакомы с REvil, то весь процесс занял бы примерно четыре часа.

На текущий момент общий ущерб от деятельности группировки неизвестен. REvil требовала выкуп в размере от $45 тысяч до $5 млн за заражённое устройство, в зависимости от размера компании. К тому же, компании нанимали специалистов для ликвидации атаки. Их услуги в среднем стоят $400—500 за час работы, включающей расследование путей проникновения.

© Habrahabr.ru