Одна из самых известных русскоязычных хакерских групп пропала из даркнета: что произошло?

К этому могут быть причастны российские власти.

Группировка хакеров REvil, известная по целому ряду громких атак, уже больше недели не подает признаков жизни: сайты группы в даркнете перестали отвечать на поисковые запросы. Это произошло вскоре после того, как президент США Джо Байден в телефонном разговоре с Владимиром Путиным пожаловался на кибератаки со стороны групп, базирующихся в России. О том, что известно о хакерах и их исчезновении — в материале «МБХ медиа».

Специалисты по компьютерной безопасности впервые обратили внимание на исчезновение группы 13 июля. «Все сайты REvil не работают, включая сайты, где обсуждали и получали выкуп», — написал у себя в твиттере американский специалист по компьютерной безопасности Лоренс Абрамс.

Как работали

Группа была очень активна в последнее время: она специализировалась на взломах различных компаний с дальнейшим требованием выкупа в обмен на отказ от публикации украденных внутренних документов. Если жертвы не хотела платить, REvil исполняла угрозу. Мрачная ирония заключалась в том, что похищенные сведения публиковались на сайте в даркнете под названием «Счастливый блог».

В среднем REvil проводила больше 10 различных кибератак в месяц. На ее счету, например, была скоординированное компьютерное нападение почти на два десятка местных органов власти в Техасе в 2019 году.

Среди жертв хакеров недавно оказался даже партнер Apple — компания Quanta Computer. В апреле этого года злоумышленники взломали сети фирмы и похитили чертежи будущих ноутбуков MacBook и другой техники Apple. Кибервзломщики запросили выкуп в размере 50 миллионов долларов. В случае невыполнения требования REvil обещала слить в открытый доступ более десятка схем и чертежей компонентов MacBook. Через некоторое время хакеры удалили все упоминания о взломе. Получили ли они выкуп, неизвестно.

По данным ФБР, число громких преступлений REvil, в частности, входит атака на филиалы крупнейшего мирового поставщика мяса JBS, которые располагаются на территории США и в Австралии. В результате была парализована работа заводов компании, а JBS пришлось заплатить хакерам 11 миллионов долларов.

Атаки на Apple и JBS стали одними из самых масштабных в истории группировки. До этого злоумышленники в основном выбирали себе цели помельче, да и выкуп просили совсем не такой крупный. Специалист по компьютерной безопасности Марк Блейхер, проанализировавший 173 атаки REvil, в разговоре с CNBC рассказал, что в среднем сумма выкупа составляла 728 тысяч долларов, а после переговоров и вовсе порой снижалась до 129 тысяч.

Деятельность REvil была похожа на отлаженный бизнес-процесс, отмечают специалисты. У группировки была своя «служба поддержки» пострадавших «клиентов», команды специалистов по программному обеспечению и даже интернет-площадка, на которой вербовали новых хакеров (объявления о приеме на работу, кстати, публиковались на русском языке). У REvil был и свой характерный почерк — например, злоумышленники часто узнавали личный мобильный номер гендиректора компании-жертвы и затем регулярно звонили ему, чтобы посмеяться над ним и потребовать выкуп.

Последней крупной «операцией» REvil была атака на американскую IT-компанию Kaseya, произошедшая 2 июля. В результате действий киберпреступников пострадали около 1,5 тысяч клиентов фирмы в шести странах мира. Их данные были зашифрованы, а хакеры потребовали выплаты 70 миллионов долларов за софт для расшифровки.

Куда пропали

Специалисты считают, что за исчезновением хакеров могут стоять российские власти, для которых такая «жертва» могла стать шагом в выстраивании новых отношений между Россией и США. На встрече президентов двух стран 16 июня в Женеве Байден передал российскому коллеге список из 16 критических важных для США секторов экономики, атака на которые недопустима и чревата объявлением ответной кибервойны. А в недавнем телефонном разговоре, пожаловался Путину на действия хакеров, предположительно связанных с Россией.

В администрации Байдена допускают, что исчезновение REvil может быть связано с вмешательством Кремля, но точных данных у властей США тоже нет.

«Мы заметили, что они [REvil] поутихли. Но мы не знаем, почему. Тем не менее, мы будем и дальше давить на Россию, требовать, чтобы они приняли меры против киберпреступников, которые находятся на их территории. Пока что мы не празднуем победу [над хакерами]», – цитирует журнал Politico высокопоставленного чиновника Белого дома, имя которого издание не раскрывает.

Однако специалисты по кибербезопасности не исключают и других вариантов. «Есть две версии: REvil решили сами избавиться от своей инфраструктуры и, возможно, через некоторое время продолжат работать, но уже под другим именем и с обновленной программой-вымогателем. Или же дело в операции правоохранительных органов — возможно, российских, но, быть может, и международных», — рассказали «МБХ медиа» в компании Group-IB, которая занимается предотвращением кибератак и расследованиями высокотехнологичных преступлений.