Американското министерство на правосъдието съобщи, че ирански гражданин се е признал за виновен за участието си в една от най-дълго активните и разрушителни рансъмуер операции – RobbinHood. От началото на 2019 г. до март 2024 г. групата е извършвала целенасочени атаки срещу градски администрации, здравни заведения и неправителствени организации в САЩ, с цел изнудване за милиони долари.

Идентифицираният извършител

Обвиняемият е 39-годишният Сина Голинежад, известен още с псевдонима „Сина Гааф“. Според разсекретения обвинителен акт, той и съучастниците му са достъпвали мрежите на жертвите чрез администраторски акаунти или чрез използване на уязвимости, след което ръчно са разгръщали RobbinHood рансъмуера и са изисквали откуп в биткойни чрез анонимни Tor сайтове.

Сред най-известните жертви са:

• град Балтимор, щата Мериленд – чийто ИТ системи бяха парализирани в продължение на седмици през 2019 г.;

• Грийнвил, Северна Каролина;

• Грешам, Орегон;

• Йонкърс, Ню Йорк;

• както и здравни и социални организации като Meridian Medical Group и Berkshire Farm Center.

Еволюцията на атаките

Докато първоначалните атаки се ограничавали до криптиране на файлове и искане на откуп за декриптиране, по-късните кампании включвали и кражба на данни, които били използвани като допълнителен лост за изнудване – с обещание да не бъдат публикувани.

Особено притеснителна е употребата на легитимен, но уязвим драйвър на Gigabyte (gdrv.sys). Този подход, известен като Bring Your Own Vulnerable Driver (BYOVD), е позволявал на групата да изключва антивирусен софтуер и да стартира рансъмуера без да бъде засечена от защити.

Умело прикриване на следите

Според обвинението, извършителите са използвали:

• виртуални частни сървъри в Европа,

• VPN услуги,

• и криптовалутни миксери, за да замаскират произхода на транзакциите и да избегнат проследяване от страна на правоохранителните органи.

Наказателна отговорност

Голинежад се призна за виновен в съда на Северна Каролина, като се изправя пред максимална присъда от 30 години затвор по обвинения в:

• заговор за измама,

• неоторизиран достъп до компютърни системи,

• изнудване и

• пране на пари.

Изводи и предупреждение за бъдещето

Случаят с RobbinHood подчертава важността на своевременното управление на уязвимостите, сегментиране на мрежата, и контролиран достъп, особено в инфраструктури на местното управление и здравеопазването, които често работят с ограничени ресурси и остарели системи.

Фактът, че групата е използвала легитимен, но уязвим драйвър, е предупреждение към доставчиците на хардуер и софтуер, които трябва да осигурят защита срещу злоупотреба с техни компоненти. Същевременно, организации от публичния и частния сектор трябва активно да прилагат контролни механизми за изпълнение на драйвъри и приложения.