Amerikaanse functionarissen van het ministerie van Justitie, de Schatkist en de FBI kondigden een reeks maatregelen aan tegen een aantal leden van de REvil-ransomwaregroep, evenals sancties tegen organisaties die groepen helpen bij het witwassen van illegale fondsen.< /p>
Op een persconferentie op maandag kondigde de Amerikaanse procureur-generaal Merrick Garland aanklachten aan tegen de 22-jarige Oekraïense Yaroslav Vasinskyi en de Rus Yevgeniy Polyanin voor hun betrokkenheid bij de operaties van REvil.
CyberScoop meldde dat Vasinskyi vorige maand in Polen werd gearresteerd nadat hij Oekraïne had verlaten en nu wordt aangeklaagd voor de aanval op Kaseya die deze zomer meer dan 1.000 bedrijven met ransomware heeft besmet.
Garland zei dat Vasinskyi — die online de naam “Rabotnik” droeg — een van de breinen achter de REvil-ransomware was en wordt uitgeleverd nadat hij op 8 oktober door de Poolse autoriteiten is gearresteerd, voegde Garland eraan toe dat hoewel Polyanin niet is gearresteerd, hij werd ook getroffen door een reeks aan hacking-gerelateerde aanklachten en had $ 6,1 miljoen aan losgeld in beslag genomen door wetshandhavingsinstanties.
De aanklacht die door het DOJ werd gedeeld, zei dat Vasinskyi al sinds ten minste 2019 deel uitmaakt van de REvil-ransomwarebende en ten minste 2500 aanvallen heeft gelanceerd. De DOJ zei dat hij $ 2,3 miljoen verdiende aan losgeld nadat hij in totaal meer dan $ 760 miljoen had geëist.
Volgens het DOJ is REvil, naast de headline-aanvallen op Kaseya en JBS, verantwoordelijk voor het inzetten van zijn ransomware op meer dan 175.000 computers. De groep heeft naar verluidt ten minste $ 200 miljoen aan losgeld binnengehaald. Garland merkte op dat Polyanin is gekoppeld aan ten minste 3.000 ransomware-aanvallen.
“De ransomware-aanvallen van Polyanin troffen talloze bedrijven en entiteiten in de Verenigde Staten, waaronder wetshandhavingsinstanties en gemeenten in de staat Texas. Polyanin heeft uiteindelijk ongeveer $ 13 miljoen dollar van zijn slachtoffers afgeperst”, zei Garland terwijl hij de aanklacht tegen beide mannen onthulde.
“Voor de tweede keer in vijf maanden hebben we de inbeslagname aangekondigd van digitale opbrengsten van ransomware ingezet door een transnationale criminele groep. Dit zal niet de laatste keer zijn. De Amerikaanse regering zal de hele ransomware-ecosysteem en de weerbaarheid van ons land tegen cyberdreigingen vergroten.”
Garland, plaatsvervangend procureur-generaal Lisa Monaco en FBI-directeur Christopher Wray bedankten Kaseya herhaaldelijk voor het melden van de wetshandhavingsinstanties, vrijwel onmiddellijk na het ontdekken van de REvil-aanval.
Alle drie merkten op dat de snelle beslissing van het bedrijf de FBI en anderen enorm heeft geholpen de betalingen op te sporen en andere slachtoffers te helpen.
“De arrestatie van Yaroslav Vasinskyi, de aanklacht tegen Yevgeniy Polyanin en de inbeslagname van $ 6,1 miljoen van zijn activa, en de arrestaties van twee andere Sodinokibi/REvil-actoren in Roemenië zijn het hoogtepunt van nauwe samenwerking met onze internationale, Amerikaanse regering en vooral onze particuliere sector partners”, aldus Wray.
Naast de aanklachten kondigde het ministerie van Financiën ook sancties aan tegen de virtuele valutawissel Chatex en het bijbehorende ondersteuningsnetwerk voor het naar verluidt faciliteren van financiële transacties voor ransomware-actoren.
IZIBITS OU, Chatextech SIA en Hightrade Finance Ltd werden ook gesanctioneerd voor het verlenen van steun aan Chatex. Vasinskyi en Polyanin kregen ook sancties opgelegd.
Het ministerie van Financiën heeft ook een premie van $ 10 miljoen onthuld voor informatie over iedereen die een sleutelpositie inneemt in de transnationale georganiseerde misdaadgroep Sodinokibi/REvil ransomware-variant.
Er is nog een beloning van $ 5 miljoen voor informatie die leidt tot de arrestatie of veroordeling in een land van een persoon die samenzweert om deel te nemen aan of probeert deel te nemen aan een Sodinokibi-variant ransomware-incident.
Recorded Future ransomware-expert Allan Liska zei dat de reeks acties op maandag het idee wegnam dat wetshandhavingsacties grotendeels ondoeltreffend waren tegen ransomware-groepen.
“We gaan niet kurken en zeggen dat ransomware nog voorbij is, maar ik denk wel dat we een impact beginnen te zien. Ik ben verheugd dat er meer sancties zijn tegen cryptocurrency-uitwisselingen die bekend staan om het witwassen van geld. Ik Ik vind het ook leuk dat het ministerie van Financiën enkele kleinere landen, zoals Estland en Roemenië, heeft opgeroepen voor hun hulp hierbij, omdat ik denk dat het begint aan te tonen dat Rusland hierin echt geïsoleerd is, meer dan in het verleden, ” zei.
“De inbeslagname van die bezittingen van een Russisch staatsburger toont aan dat zelfs als je in Rusland bent gevestigd, je niet veilig bent. Ze kunnen je misschien niet arresteren, maar ze kunnen invloed op je hebben op manieren waar je waarschijnlijk nog niet aan hebt gedacht.”
De acties op maandag begonnen met de arrestatie van twee mensen verbonden aan REvil door de Roemeense autoriteiten. De politie in Koeweit heeft ook een ander GandGrab-filiaal gearresteerd.
Amerikaanse instanties hebben de afgelopen zes maanden samengewerkt met Europol, Eurojust, Interpol en andere wetshandhavingsorganisaties aan “Operatie GoldDust” om meerdere ransomware-groepen te ontwrichten. Zeventien landen zijn betrokken bij de inspanning en tientallen mensen zijn in heel Europa gepakt in verband met ransomware-groepen.
REvil sloot vorige maand voor de tweede keer de winkel nadat ze had gezegd dat de druk van de politie te groot was geworden om hun activiteiten voort te zetten.
Een van de operaties waarnaar in de aanklachten wordt verwezen, was een grootschalige ransomware-aanval in 2019 die gericht was op tientallen lokale overheden in de staat Texas.
Andy Bennett, CISO van Apollo Information Systems, vertelde ZDNet dat hij de incidentcommandant was voor de aanval in Texas en dat het veel te laat was voor de mensen achter de aanval om een soort van vergelding te ondergaan.
“Jaren van hard werken en samenwerken hebben eindelijk hun vruchten afgeworpen. Deze aanvallers hielden openbare en particuliere organisaties en zelfs hele gemeenschappen gegijzeld en er waren organisaties nodig die de vastberadenheid hadden om het losgeld niet te betalen, in samenwerking met wetshandhavers om de weg vrij te maken om deze criminelen voor het gerecht te brengen, ' zei Bennett.
“Het belang van deze arrestaties is dat ransomware net een activiteit met een hoog risico is geworden. Tot nu toe was ransomware een relatief laag risico en een hoge beloning voor ondernemende criminelen. Het werd zelfs door wetshandhavers gezien als bijna onmogelijk te vangen en het vervolgen van ransomware-bendes die actief zijn in Oost-Europa en andere delen van de wereld vanwege problemen bij het volgen en controleren van cryptovaluta die worden gebruikt voor betaling en enorme procedurele en juridische hindernissen. Het is duidelijk dat dit niet langer showstoppers zijn en het zal zeker de rest van de ransomware uitschakelen bendes op scherp en op de hoogte dat zij de volgende zouden kunnen zijn. Ik zou niet blijer kunnen zijn om deze specifieke bedreigingsactoren voor het gerecht te zien worden gebracht, want het was REvil/Sodin die in augustus 2019 23 lokale overheden in Texas trof.”
< h3 class="heading"> Beveiliging
Het beste phishing-doelwit? Je smartphone Waarom je deze beveiligingssleutel van $ 29 nodig hebt FBI: Ransomware-groepen koppelen aanvallen aan 'belangrijke financiële gebeurtenissen' Signaal onthult hoe ver de Amerikaanse wetshandhavers gaan om informatie van mensen te krijgen De 10 ergste hardware-beveiligingsfouten in 2021 Cybersecurity 101: bescherm je privacy tegen hackers , spionnen, de overheid EU | Beveiliging TV | Gegevensbeheer | CXO | Datacenters