США конфисковали украденные средства у подозреваемых северокорейских хакеров

Министерство юстиции США конфисковало биткойны на сумму 500 000 долларов (417 000 фунтов стерлингов) у подозреваемых северокорейских хакеров.

Хакеры атаковали поставщиков медицинских услуг с помощью нового вида программ-вымогателей, вымогая средства у нескольких организаций.

власти США говорят, что они уже вернулись выплаты выкупа двум больничным группам.

Редкий успешный захват произошел после того, как власти США предупредили, что Северная Корея становится серьезной угрозой для программ-вымогателей.

На конференции во вторник заместитель генерального прокурора Лиза О. Монако похвалила неназванную больницу Канзаса за раннее оповещение ФБР об атаке программы-вымогателя.

«Это не только позволило нам вернуть их выкуп, а также выкуп, выплаченный ранее неизвестными жертвами, но мы также смогли идентифицировать ранее неопознанный штамм программы-вымогателя», — сказала она.

Согласно судебным документам, в мае 2021 года хакеры использовали штамм программы-вымогателя под названием Maui для шифрования файлов и серверов медицинского центра в Канзасе.

Как правило, хакеры-вымогатели используют вредоносное программное обеспечение для шифрования данных или блокирования доступа пользователей к системе до тех пор, пока не будет выплачен выкуп.

Канзасская больница провела неделю, не имея доступа к своим ИТ-системам, а затем решила заплатить около 100 000 долларов в биткойнах, чтобы восстановить использование своих компьютеров и оборудования.

Платить выкуп хакерам не является незаконным, но правоохранительные органы всего мира не одобряют это.

ФБР сообщает, что медицинский центр быстро уведомил его о платеже, а это означает, что офицеры смогли идентифицировать никогда ранее не встречавшуюся программу-вымогатель, связанную с Северной Кореей, и отследить криптовалюту до китайских отмывателей денег.

Агенты также смогли идентифицировать еще один платеж в биткойнах на сумму 120 000 долларов США, сделанный на один из криминальных криптовалютных счетов. Это оказался поставщик медицинских услуг в Колорадо, который только что заплатил выкуп после того, как его взломали преступники-вымогатели с Мауи.

ФБР заявляет, что вернуло деньги двум поставщикам медицинских услуг, но не сообщило, откуда поступила остальная часть изъятых средств.

Неизвестно, как ФБР удалось захватить средства, но Том Робинсон, основатель и главный научный сотрудник компании Elliptic, которая анализирует платежи в биткойнах, сказал Би-би-си, что изъятие могло произойти, когда хакеры пытались обменять свои биткойны на традиционную валюту.

«Вполне вероятно, что следователи смогли отследить криптовалюту до биржевой платформы, куда мошенники отправили средства для обналичивания. Биржи являются регулируемыми предприятиями и могут конфисковать средства своих клиентов, если к этому принудят правоохранительные органы. ,» он сказал.

«Другая возможность заключается в том, что криптовалюта была изъята непосредственно из собственного кошелька мошенников. Это более сложно сделать, поскольку для этого потребуется доступ к закрытому ключу кошелька — коду доступа, который позволяет получить доступ к криптовалюте в кошельке и перемещать ее».

Власти США все чаще используют новые тактики для кражи вымогаемых средств у киберпреступников, действующих в таких юрисдикциях, как Северная Корея и Россия, где правоохранительные органы не сотрудничают с западными запросами о помощи.

«Эти конфискации все еще очень редки, и это подчеркивает ценность быстрого сообщения об инцидентах с кибервымогательством и работы с правоохранительными органами», — говорит Джен Эллис из фирмы Rapid7, занимающейся кибербезопасностью.

«Они не смогут возместить платеж в каждом случае, но чем больше у них информации о тактике, методах и процедурах атакующих групп, тем больше вероятность того, что они смогут сорвать, сдержать и отреагировать на атаки. что выгодно всем».

В июне прошлого года США возвратил большую часть выкупа в размере 4,4 млн долларов выплачивается Colonial Pipeline банде киберпреступников, предположительно базирующейся в России.

В ноябре 2021 года США также вернули 6 миллионов долларов от другой банды вымогателей под названием REvil с тесными связями с Россией.

Помимо традиционных элементов государственного шпионажа, Северную Корею на протяжении многих лет обвиняли в проведении хакерских атак, направленных на зарабатывание денег для государства-изгоя.

Хакерскую деятельность Северной Кореи часто связывают с так называемой группой хакеров Lazarus, которую обвиняют в попытке получить 1 миллиард долларов из бангладешского банка в 2016 году.

В прошлом году группа была связана с прибыльными атаками на криптовалютные платформы, но в прошлом месяце кибер-власти США вынес предупреждение о северокорейских хакерах, запускающих атаки программ-вымогателей на больницы США.

Власти не представили доказательств того, что за атаками стоит Северная Корея, но в совместной оценке программы-вымогателя Maui, проведенной Консультативным советом по кибербезопасности, говорится, что она «использовалась спонсируемыми государством северокорейскими кибер-акторами по крайней мере с мая 2021 года для нападения на организации здравоохранения». «