Американското министерство на правосъдието съобщи, че ирански гражданин се е признал за виновен за участието си в една от най-дълго активните и разрушителни рансъмуер операции – RobbinHood. От началото на 2019 г. до март 2024 г. групата е извършвала целенасочени атаки срещу градски администрации, здравни заведения и неправителствени организации в САЩ, с цел изнудване за милиони долари.
Обвиняемият е 39-годишният Сина Голинежад, известен още с псевдонима „Сина Гааф“. Според разсекретения обвинителен акт, той и съучастниците му са достъпвали мрежите на жертвите чрез администраторски акаунти или чрез използване на уязвимости, след което ръчно са разгръщали RobbinHood рансъмуера и са изисквали откуп в биткойни чрез анонимни Tor сайтове.
Сред най-известните жертви са:
град Балтимор, щата Мериленд – чийто ИТ системи бяха парализирани в продължение на седмици през 2019 г.;
Грийнвил, Северна Каролина;
Грешам, Орегон;
Йонкърс, Ню Йорк;
както и здравни и социални организации като Meridian Medical Group и Berkshire Farm Center.
Докато първоначалните атаки се ограничавали до криптиране на файлове и искане на откуп за декриптиране, по-късните кампании включвали и кражба на данни, които били използвани като допълнителен лост за изнудване – с обещание да не бъдат публикувани.
Особено притеснителна е употребата на легитимен, но уязвим драйвър на Gigabyte (gdrv.sys). Този подход, известен като Bring Your Own Vulnerable Driver (BYOVD), е позволявал на групата да изключва антивирусен софтуер и да стартира рансъмуера без да бъде засечена от защити.
Според обвинението, извършителите са използвали:
виртуални частни сървъри в Европа,
VPN услуги,
и криптовалутни миксери, за да замаскират произхода на транзакциите и да избегнат проследяване от страна на правоохранителните органи.
Голинежад се призна за виновен в съда на Северна Каролина, като се изправя пред максимална присъда от 30 години затвор по обвинения в:
заговор за измама,
неоторизиран достъп до компютърни системи,
изнудване и
пране на пари.
Случаят с RobbinHood подчертава важността на своевременното управление на уязвимостите, сегментиране на мрежата, и контролиран достъп, особено в инфраструктури на местното управление и здравеопазването, които често работят с ограничени ресурси и остарели системи.
Фактът, че групата е използвала легитимен, но уязвим драйвър, е предупреждение към доставчиците на хардуер и софтуер, които трябва да осигурят защита срещу злоупотреба с техни компоненти. Същевременно, организации от публичния и частния сектор трябва активно да прилагат контролни механизми за изпълнение на драйвъри и приложения.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.
