Jonathan Greig är en journalist baserad i New York City.
Fullständig bio den 14 januari 2022 | Ämne: Ransomware
Vita husets tjänstemän sa till reportrar på fredagen att personen bakom ransomware-attacken på Colonial Pipeline förra året greps som en del av den större razzian mot REvil ransomware-gruppen av rysk brottsbekämpning i fredags, vilket bekräftar rapportering från The Washington Post.
På fredagseftermiddagen sa Washington Posts reporter Ellen Nakashima att en amerikansk tjänsteman berättade för henne att personen som specifikt låg bakom attacken mot Colonial Pipeline sågs i en video som delas av Rysslands federala säkerhetstjänst (FSB) av razzian mot en lägenhetshus.
Flera män ses i videon så det är oklart exakt vilken man som hänvisas till, men Vita huset höll senare ett samtal med reportrar och bekräftade att en av de arresterade var den specifika personen bakom Colonial Pipeline-attacken.
FSB-utdelningsvideo efter rapporten om att Ryssland tog ner REvil-hackningsgruppen enligt begäran från amerikanska myndigheter pic.twitter.com/1ApkZBij1R
— Mary Ilyushina (@maryilyushina) 14 januari 2022
FSB och Rysslands inrikesministerium gjorde en razzia på 25 olika platser i Moskva, St. Petersburg och Lipetsk och arresterade 14 personer som påstås vara inblandade i REvils verksamhet.
FSB sa i ett uttalande att många av de fängslade nu åtalas och noterade att 20 lyxbilar, 426 miljoner rubel, 600 000 dollar och 500 000 euro i euro beslagtogs under räden. Polisen tog även datorutrustning och fick tillgång till flera kryptoplånböcker.
REvil och en närbesläktad ransomware-grupp kallad DarkSide låg bakom några av de största ransomware-attackerna i USA under 2021, inklusive attacker mot Colonial Pipeline, den globala livsmedelsleverantören JBS och IT-utvecklaren Kaseya.
USA har ägnat månader åt att pressa Ryssland att göra mer för att stoppa ransomware-gäng från att verka inom sina gränser och president Joe Biden diskuterade personligen frågan med Rysslands president Vladimir Putin.
På fredagen sade Ryssland att de genomförde razzian på begäran av amerikanska tjänstemän som tillhandahållit mängder av bevis om ledaren för REvil och andra operatörer inom gruppen.
Två män, Roman Muromsky och Andrei Bessonov, namngavs av ryska nyhetskanaler när medlemmar i gruppen och video dök upp online av de två i rätten.
I november greps flera medlemmar av REvil av rumänska myndigheter medan amerikanska tjänstemän från justitiedepartementet, finansdepartementet och FBI tillkännagav en rad åtgärder mot andra medlemmar i gruppen samt sanktioner mot organisationer som hjälper ransomware-grupper att tvätta olagliga medel.< /p>
Enligt DOJ ansvarar REvil, förutom de rubricerade attackerna mot Kaseya och JBS, för att distribuera sin ransomware på mer än 175 000 datorer. Gruppen ska ha fått in minst 200 miljoner dollar från lösensummor.
REvil stängde butiken för andra gången i oktober efter att ha sagt att pressen från brottsbekämpande myndigheter hade blivit för stor för att de skulle kunna fortsätta sin verksamhet. De lade ursprungligen ner sin verksamhet i juli efter att attacken mot Kaseya påverkade mer än 1 000 organisationer runt om i världen och ledde till offensiva cyberattacker från flera regeringar.
John Shier, senior säkerhetsrådgivare på Sophos, sa att gripandena är ovanliga med tanke på Rysslands tidigare ställningstagande till brott mot ransomware, och noterade att timingen var märklig med tanke på de cyberattacker som genomfördes mot Ukraina idag.
“Nyheten kommer vid en tidpunkt då de politiska spänningarna mellan de två regeringarna är höga och det är lätt att vara cynisk angående motivet. I en tid då Ryssland behöver lite geopolitisk goodwill arresterar de individer som är associerade med en nedlagd ransomware-grupp,” Shier sa.
“Om inte annat fungerar det som en varning till andra brottslingar om att att operera utanför Ryssland kanske inte är den säkra hamn de trodde att det var.”
Digital Shadows Chris Morgan sa att gripandena “skrossar tidigare uppfattningar om de ryska myndigheternas roll för att ta itu med ransomware.” Liksom Shier sa han att timingen var misstänkt och att FSB:s uttalande att sökningarna utfördes efter “en vädjan från de relevanta amerikanska myndigheterna” potentiellt representerar ett bakhandsmeddelande som framhäver att ryska myndigheter kan användas för att stoppa ransomware-aktivitet, men endast under vissa omständigheter.
“Det är troligt att gripandena mot REvil-medlemmar var politiskt motiverade, med Ryssland som ville använda evenemanget som hävstång; det kan diskuteras att detta kan relatera till sanktioner mot Ryssland som nyligen föreslagits i USA, eller utvecklingen av situationen vid Ukrainas gräns.” sa Morgan.
“Det faktum att FSB riktade REvil, som inte har varit offentligt aktiva i att genomföra attacker sedan oktober 2021, är också betydelsefullt; prat på ryska cyberkriminella forum identifierade denna känsla, vilket tydde på att REvil var “bockar i ett stort politiskt spel”, medan en annan användare föreslog att Ryssland gjorde arresteringarna “med avsikt” så att USA skulle “lugna ner sig.” Det är möjligt att FSB slog till mot REvil med vetskapen om att gruppen stod högt på prioriteringslistan för USA, samtidigt som man ansåg att deras borttagande skulle ha en liten inverkan på det nuvarande ransomware-landskapet. Dessa arresteringar kunde också ha tjänat ett sekundärt syfte, som en varning till andra ransomware-grupper. REvil gjorde internationella nyheter förra året när de riktade in sig på organisationer som JBS och Kaseya, som var högprofilerade och slagkraftiga attacker; en mycket offentlig serie razzior kan av vissa tolkas som ett budskap att vara uppmärksam på deras inriktning. .”
Josh Lospinoso, en tidigare amerikansk cyberkommandoofficer, berättade för ZDNet att Ryssland sannolikt kastar REvil under bussen och tar ner gruppen för att hävda att de tar denna attack av cyberfysisk kritisk infrastruktur på allvar.
REvil och andra ransomware-gäng som tagits ner tidigare har ofta kommit igång igen, förklarade Lospinoso.
“Att utnyttja cyberoperationer är en rysk strategi i läroboken under geopolitiska förhandlingar – oavsett om det tar formen av att lansera offensiva kampanjer eller spela “den bra killen” som vi ser här – eftersom det ger landet rimlig förnekelse och jämnar spelplanen med mer ekonomiskt och militaristiskt mäktiga länder”, sa Lospinoso.
Ransomware: En verkställande guide till ett av de största hoten på webben
Allt du behöver veta om ransomware: hur det började, varför det blomstrar, hur du skyddar dig mot det och vad du ska göra om din dator är infekterad.
Läs mer
Regeringen