Jonathan Greig er en journalist baseret i New York City.
Fuld biografi den 14. januar 2022 | Emne: Ransomware
Embedsmænd i Det Hvide Hus fortalte fredag, at personen bag ransomware-angrebet på Colonial Pipeline sidste år blev anholdt som en del af det større razzia mod REvil ransomware-gruppen af russiske retshåndhævere i fredags, hvilket bekræfter rapportering fra The Washington Post.
Fredag eftermiddag sagde Washington Post-reporter Ellen Nakashima, at en amerikansk embedsmand fortalte hende, at personen specifikt bag Colonial Pipeline-angrebet blev set i en video delt af Ruslands føderale sikkerhedstjeneste (FSB) af razziaen på en højhus.
Flere mænd ses i videoen, så det er uklart, præcis hvilken mand der henvises til, men Det Hvide Hus holdt senere et opkald med journalister og bekræftede, at en af de anholdte var den specifikke person bag Colonial Pipeline-angrebet.
FSB-uddelingsvideo efter rapporten om, at Rusland har nedlagt REvil-hackergruppen efter anmodning fra amerikanske myndigheder pic.twitter.com/1ApkZBij1R
— Mary Ilyushina (@maryilyushina) 14. januar 2022
FSB og Ruslands indenrigsministerium raidede 25 forskellige steder i Moskva, Skt. Petersborg og Lipetsk og arresterede 14 personer, der angiveligt var involveret i REvils operationer.
FSB sagde i en erklæring, at mange af de tilbageholdte nu står over for sigtelser og bemærkede, at 20 luksusbiler, 426 millioner rubler, $600.000 amerikanske dollars og Є500.000 i euro blev beslaglagt under razzierne. Politiet tog også computerudstyr og fik adgang til flere krypto-punge.
REvil og en nært associeret ransomware-gruppe kaldet DarkSide stod bag nogle af de største ransomware-angreb i USA i hele 2021, herunder angreb på Colonial Pipeline, den globale fødevareleverandør JBS og it-udvikleren Kaseya.
USA har brugt måneder på at presse Rusland til at gøre mere for at stoppe ransomware-bander i at operere inden for deres grænser, og præsident Joe Biden diskuterede personligt spørgsmålet med den russiske præsident, Vladimir Putin.
I fredags sagde Rusland, at det gennemførte razziaen efter anmodning fra amerikanske embedsmænd, som leverede masser af beviser om lederen af REvil og andre operatører i gruppen.
To mænd, Roman Muromsky og Andrei Bessonov, blev navngivet af russiske nyhedsmedier, da medlemmer af gruppen og video dukkede op online af de to i retten.
I november blev adskillige medlemmer af REvil arresteret af de rumænske myndigheder, mens amerikanske embedsmænd fra justitsministeriet, finansministeriet og FBI kunngjorde en liste over handlinger mod andre medlemmer af gruppen samt sanktioner mod organisationer, der hjælper ransomware-grupper med at hvidvaske ulovlige midler.< /p>
Ifølge DOJ er REvil ud over hovedangrebene på Kaseya og JBS ansvarlig for at implementere sin ransomware på mere end 175.000 computere. Gruppen indbragte angiveligt mindst 200 millioner dollars fra løsesummer.
REvil lukkede butikken for anden gang i oktober efter at have sagt, at presset fra retshåndhævelsen var blevet for stort til, at de kunne fortsætte deres drift. De lukkede oprindeligt deres operationer i juli efter angrebet på Kaseya påvirkede mere end 1.000 organisationer rundt om i verden og førte til offensive cyberangreb fra flere regeringer.
John Shier, senior sikkerhedsrådgiver hos Sophos, sagde, at anholdelserne er usædvanlige i betragtning af Ruslands tidligere holdning til ransomware-forbrydelser, og bemærkede, at timingen var mærkelig i betragtning af de cyberangreb, der blev udført mod Ukraine i dag.
“Nyhederne kommer på et tidspunkt, hvor de politiske spændinger mellem de to regeringer løber højt, og det er let at være kynisk omkring motivet. På et tidspunkt, hvor Rusland har brug for lidt geopolitisk goodwill, arresterer de personer, der er forbundet med en nedlagt ransomware-gruppe,” Shier sagde.
“Om ikke andet, tjener det som en advarsel til andre kriminelle om, at opererer ud af Rusland måske ikke er den sikre havn, de troede det var.”
Digital Shadows' Chris Morgan sagde, at anholdelserne “skader tidligere opfattelser af de russiske myndigheders rolle i at tackle ransomware.” Ligesom Shier sagde han, at timingen var mistænkelig, og at FSB's udtalelse om, at søgningerne blev udført efter “en appel fra de relevante amerikanske myndigheder” potentielt repræsenterer en baghåndsmeddelelse, der fremhæver, at russiske myndigheder kan bruges til at stoppe ransomware-aktivitet, men kun under visse omstændigheder.
“Det er sandsynligt, at anholdelserne mod REvil-medlemmer var politisk motiverede, hvor Rusland søger at bruge begivenheden som løftestang; det kan diskuteres, at dette kan relatere til sanktioner mod Rusland, der for nylig blev foreslået i USA, eller udviklingssituationen på Ukraines grænse.” sagde Morgan.
“Den kendsgerning, at FSB sigtede REvil, som ikke har været offentligt aktive i at udføre angreb siden oktober 2021, er også væsentlig; snakken på russiske cyberkriminelle fora identificerede denne følelse, hvilket tydede på, at REvil var 'bønder i et stort politisk spil', mens en anden bruger foreslog, at Rusland foretog anholdelserne 'med vilje', så USA ville 'falde til ro'. Det er muligt, at FSB raidede REvil velvidende, at gruppen stod højt på prioritetslisten for USA, mens de overvejede, at deres fjernelse ville have en lille indvirkning på det nuværende ransomware-landskab. Disse anholdelser kunne også have tjent et sekundært formål, som en advarsel til andre ransomware-grupper. REvil lavede internationale nyheder sidste år i sin målretning mod organisationer som JBS og Kaseya, som var højprofilerede og virkningsfulde angreb; en meget offentlig række razziaer kunne af nogle tolkes som en besked om at være opmærksom på deres målretning .”
Josh Lospinoso, en tidligere amerikansk cyberkommandoofficer, fortalte ZDNet, at Rusland sandsynligvis kaster REvil under bussen, og tager gruppen ned for at påstå, at de tager dette angreb af cyberfysisk kritisk infrastruktur alvorligt.
REvil og andre ransomware-bander, der tidligere blev slået ned, er ofte vendt tilbage til handling, forklarede Lospinoso.
“At udnytte cyberoperationer er en russisk lærebogsstrategi under geopolitiske forhandlinger – uanset om det tager form af at lancere offensive kampagner eller at spille den 'gode fyr', som vi ser her – da det giver landet plausibel benægtelse og udjævner spillereglerne med mere økonomisk og militaristisk magtfulde lande,” sagde Lospinoso.
Ransomware: En executive guide til en af de største trusler på nettet
Alt hvad du behøver at vide om ransomware: hvordan det startede, hvorfor det boomer, hvordan man beskytter sig mod det, og hvad man skal gøre, hvis din pc er inficeret.
Læs mere
Regeringen