Max Home IndustryМинистерство юстиции США конфисковало биткойны на сумму 500 000 долларов (417 000 фунтов стерлингов) у подозреваемых северокорейских хакеров.
Хакеры атаковали поставщиков медицинских услуг с помощью нового вида программ-вымогателей, вымогая средства у нескольких организаций.
Власти США заявляют, что уже вернули выкуп двум больничным группам.
Редкий успешный захват произошел после того, как власти США предупредили, что Северная Корея становится серьезной угрозой для программ-вымогателей.
На конференции во вторник заместитель генерального прокурора Лиза О. Монако похвалила неназванную больницу Канзаса за раннее оповещение ФБР об атаке программы-вымогателя.
«Это не только позволило нам вернуть их выкуп, а также выкуп, выплаченный ранее неизвестными жертвами, но мы также смогли идентифицировать ранее неопознанный штамм программы-вымогателя», — сказала она.
Хакеры атаковали больницу
Согласно судебным документам, в мае 2021 года хакеры использовали штамм программы-вымогателя под названием Maui для шифрования файлов и серверов медицинского центра в Канзасе.
Как правило, хакеры-вымогатели используют вредоносное программное обеспечение для шифрования данных или блокирования доступа пользователей к системе до тех пор, пока не будет выплачен выкуп.
Канзасская больница провела неделю, не имея доступа к своим ИТ-системам, а затем решила заплатить около 100 000 долларов в биткойнах, чтобы восстановить использование своих компьютеров и оборудования.
Платить выкуп хакерам не является незаконным, но это не одобряется правоохранительными органами по всему миру.
ФБР сообщает, что медицинский центр быстро уведомил его о платеже, а это означает, что офицеры смогли идентифицировать никогда ранее не встречавшуюся программу-вымогатель, связанную с Северной Кореей, и отследить криптовалюту до китайских отмывателей денег.
Агенты также смогли идентифицировать еще один платеж в биткойнах на сумму 120 000 долларов США, сделанный на один из криминальных счетов в криптовалюте. Это оказался поставщик медицинских услуг в Колорадо, который только что заплатил выкуп после того, как его взломали преступники-вымогатели с Мауи.
ФБР заявляет, что вернуло деньги двум поставщикам медицинских услуг, но не сообщило, откуда поступила остальная часть изъятых средств.
Как случился приступ
Неизвестно, как ФБР удалось захватить средства, но Том Робинсон, основатель и главный научный сотрудник компании Elliptic, которая анализирует платежи в биткойнах, сказал Би-би-си, что изъятие могло произойти, когда хакеры пытались обменять свои биткойны на традиционную валюту.
«Вполне вероятно, что следователи смогли отследить криптовалюту до биржевой платформы, куда мошенники отправили средства для обналичивания. Биржи являются регулируемыми предприятиями и могут конфисковать средства своих клиентов, если к этому принудят правоохранительные органы. ,» он сказал.
«Другая возможность заключается в том, что криптовалюта была изъята непосредственно из собственного кошелька мошенников. Это более сложно сделать, поскольку для этого потребуется доступ к закрытому ключу кошелька — коду доступа, который позволяет получить доступ к криптовалюте в кошельке и перемещать ее».
Власти США все чаще используют новые тактики для кражи вымогаемых средств у киберпреступников, действующих в таких юрисдикциях, как Северная Корея и Россия, где правоохранительные органы не сотрудничают с западными запросами о помощи.
«Эти конфискации все еще очень редки, и это подчеркивает ценность быстрого сообщения об инцидентах с кибервымогательством и работы с правоохранительными органами», — говорит Джен Эллис из фирмы Rapid7, занимающейся кибербезопасностью.
«Они не смогут возместить платеж в каждом случае, но чем больше у них информации о тактике, методах и процедурах атакующих групп, тем больше вероятность того, что они смогут сорвать, сдержать и отреагировать на атаки. что выгодно всем».
В июне прошлого года США вернули большую часть выкупа в размере 4,4 млн долларов, выплаченного Colonial Pipeline банде киберпреступников, предположительно базирующейся в России.
В ноябре 2021 года США также вернули 6 миллионов долларов у другой банды вымогателей под названием REvil, имеющей тесные связи с Россией.
Северокорейский вымогатель
Помимо традиционных элементов государственного шпионажа, Северную Корею на протяжении многих лет обвиняли в проведении хакерских атак, направленных на зарабатывание денег для государства-изгоя.
Хакерская деятельность Северной Кореи часто приписывается так называемой хакерской группе Lazarus, которую обвиняют в попытке получить 1 миллиард долларов из бангладешского банка в 2016 году.
В прошлом году группа была связана с прибыльными атаками на криптовалютные платформы, но в прошлом месяце кибервласти США выпустили предупреждение о том, что северокорейские хакеры запускают атаки программ-вымогателей на больницы США.
Власти не представили доказательств того, что за атаками стоит Северная Корея, но в совместной оценке программы-вымогателя Maui, проведенной Консультативным советом по кибербезопасности, говорится, что она «использовалась спонсируемыми государством северокорейскими кибер-акторами по крайней мере с мая 2021 года для нападения на организации здравоохранения». «