Все известные сайты в даркнете, связанные с крупной хакерской группировкой REvil, были отключены. Доступ к ним пропал 13 июля примерно в час ночи по времени Восточного побережья США (восемь часов утра по московскому времени). Об этом сообщает The New York Times. Также об отключении сайтов REvil сообщили Bloomberg и CNBC.
REvil, также известная как Sodinokibi, — группировка, которая совершает кибератаки на различные компании с помощью программ, шифрующих их данные, а потом требует выкуп за возврат доступа к ним. В июне ФБР обвинило REvil в кибератаке на крупнейшего в мире производителя мяса, бразильскую компанию JBS. Из-за атаки JBS остановила работу своих заводов в США, Канаде и Австралии. В итоге компания заплатила вымогателям 11 миллионов долларов.
Кроме того, в апреле REvil брала на себя ответственность за взлом Quanta — тайваньского поставщика Apple, который производит для корпорации макбуки. А в июле группировку связывали с масштабной кибератакой, затронувшей, по некоторым данным, более тысячи компаний.
Участники REvil говорят и пишут на русском, рассказали CNBC американские эксперты по кибербезопасности. По их мнению, группировка связана с Россией. «Скорее всего, они находятся под защитой российской разведки или российского правительства, как и большинство группировок, занимающихся вымогательством», — заявил топ-менеджер компании Arete Incident Response, которая ведет переговоры с хакерами, Марк Блейхер.
13 июля из даркнета пропали блог REvil, где группировка рассказывала о некоторых жертвах своих атак и о своих доходах от интернет-вымогательства, а также сайты, через которые REvil вела переговоры с атакованными компаниями и получала от них платежи. Из-за отключения этих сайтов некоторые пострадавшие компании лишились возможности договориться с хакерами и вернуть контроль над своими системами, отмечает The New York Times.
REvil пропала из даркнета через несколько дней после телефонного разговора президента России Владимира Путина и президента США Джо Байдена. Байден потребовал от Путина пресечь деятельность хакеров-вымогателей, базирующихся в России. «Я очень ясно дал понять, что США ожидают от России действий, если вымогатели работают с ее территории, даже если их не поддерживает государство», — заявил Байден журналистам после разговора. Он добавил, что США сами отключат серверы хакеров, если Россия будет бездействовать.
Почему остановили работу сайты REvil, неизвестно. The New York Times приводит три версии произошедшего: либо их отключили власти США, либо это сделали власти России, либо хакеры сами решили залечь на дно, так как их деятельность привлекла слишком много внимания. В последнюю версию верят не все. «Эти парни — хвастуны. Но тут мы не увидели никаких записок, никакого хвастовства. Такое ощущение, что они бросили все под давлением», — заявил старший аналитик компании по кибербезопасности Recorded Future Inc. Аллан Лиска.
В начале мая другая предположительно связанная с Россией группировка DarkSide атаковала американскую трубопроводную компанию Colonial Pipeline. Компания восстановила работу трубопровода только через неделю. Она выплатила вымогателям 4,4 миллиона долларов. Позже Минюст США заявил, что сумел вернуть 2,3 миллиона долларов из этой суммы. В середине мая DarkSide заявила об остановке работы из-за давления властей США. Но эксперты полагают, что хакеры просто продолжат свою деятельность под другим названием.