Министерството на правосъдието на САЩ повдигна обвинения на руски гражданин за организиране на атаки с цел получаване на откуп срещу „хиляди жертви“ в страната и по света.

За въпросното 30-годишно лице Михаил Павлович Матвеев (известен още като Wazawaka, m1x, Boriselcin и Uhodiransomwar) се твърди, че е „централна фигура“ в разработването и внедряването на вариантите на рансъмуер LockBit, Babuk и Hive поне от юни 2020 г. насам.

„Тези жертви включват правоприлагащи органи и други правителствени агенции, болници и училища“, заяви DoJ. „Общият размер на исканията за откуп, за които се твърди, че са отправени от членовете на тези три глобални кампании за откуп към техните жертви, възлиза на 400 млн. долара, а общият размер на плащанията за откуп към жертвите възлиза на 200 млн. долара.“

LockBit, Babuk и Hive действат по сходен начин, като използват незаконно получен достъп, за да ексфилтрират ценни данни и да разгърнат софтуер за откуп в компрометирани мрежи. Участниците в заплахите също така заплашват да публикуват откраднатата информация в сайт за изтичане на данни в опит да договорят с жертвите сума за откуп.

Матвеев е обвинен в заговор за предаване на искания за откуп, заговор за повреждане на защитени компютри и умишлено повреждане на защитени компютри. Ако бъде признат за виновен, което е малко вероятно, той е заплашен от над 20 години затвор.

Държавният департамент на САЩ също така обяви награда в размер до 10 млн. долара за информация, която води до арестуването и/или осъждането на Матвеев.

Отделно от това Службата за контрол на чуждестранните активи (OFAC) към Министерството на финансите обяви санкции срещу обвиняемия, като заяви, че „незаконните му дейности ще бъдат толерирани от местните власти, при условие че той остане лоялен към Русия“.

Според журналиста в областта на киберсигурността Брайън Кребс едно от алтер еготата на Матвеев е включвало името Orange, което обвиняемият е използвал за създаването на вече несъществуващия даркнет форум Russian Anonymous Marketplace (известен още като RAMP).

Въпреки поредицата от действия на правоприлагащите органи за разграждане на екосистемата на киберпрестъпността през последните години моделът на откупния софтуер като услуга (RaaS) продължава да бъде доходоносен, предлагайки на партньорите високи маржове на печалба, без да се налага те сами да разработват и поддържат зловредния софтуер.

Финансовата механика, свързана с RaaS, също така е намалила бариерата за навлизане на начинаещи киберпрестъпници, които могат да се възползват от услугите, предлагани от разработчиците на рансъмуер, за да организират атаките и да приберат лъвския пай от незаконните печалби.

Австралийските и американските власти публикуват предупреждение за рансъмуер BianLian

Развитието на ситуацията идва в момент, когато американските и австралийските агенции за киберсигурност публикуваха съвместна препоръка относно рансъмуера BianLian – група за двойно изнудване, която от юни 2022 г. е насочена към няколко сектора на критичната инфраструктура, професионалните услуги и развитието на недвижими имоти.

„Групата получава достъп до системите на жертвите чрез валидни идентификационни данни за протокол за отдалечен работен плот (RDP), използва инструменти с отворен код и скриптове от командния ред за откриване и събиране на идентификационни данни и ексфилтрира данни на жертвите чрез протокол за прехвърляне на файлове (FTP), Rclone или Mega“, се посочва в консултацията.

По-рано тази година чешката фирма за киберсигурност Avast публикува безплатен декриптор за рансъмуера BianLian, за да помогне на жертвите на зловредния софтуер да възстановят заключените файлове, без да се налага да плащат.

Бюлетинът за сигурност се появява и на фона на появата на нов щам на рансъмуер, наречен LokiLocker, който има общи черти с друг локер, наречен BlackBit, и е наблюдаван като активно насочен към структури в Южна Корея.