США и Австралия ввели санкции против россиянина, взломавшего Medibank

[INC.]

Министерство финансов США внесло в санкционный список, связанный с кибербезопасностью, 33-летнего гражданина России Александра Ермакова.
Также известен под никами blade_runner, GistaveDore, GustaveDore, JimJones.

Информация об этом размещена на сайте Управления по контролю за иностранными активами Министерства финансов США (OFAC).

«Управление по контролю за иностранными активами Минфина США в координации с Австралией и Великобританией внесло в связанный с кибербезопасностью список россиянина Александра Ермакова, сыгравшего ключевую роль в кибератаке на Medibank в 2022 году», — говорится в сообщении.

Также во вторник, 23 января 2024 года, о введении санкций против Ермакова сообщили министерства иностранных дел Великобритании и Австралии. Австралия, в частности, запретила провдить с Ермаковым финансовые операции, а также запретила ему въезд в страну. “Предоставление активов Александру Ермакову, использование его активов или совершение сделок с ними, в том числе через криптовалютные кошельки, является уголовным преступлением, наказуемым тюремным заключением на срок до 10 лет и крупными штрафами”, — говорится в пресс-релизе на сайте МИД Австралии.

Причиной введения санкций против Ермакова стала кража персональных данных клиентов страховой компании Medibank. В результате кибератаки, участие в которой приписывают Ермакову, было украдено 9,7 млн записей Medibank. Они включали имена, даты рождения, номера медицинских страховок и конфиденциальную медицинскую информацию. Часть записей впоследствии была опубликована в даркнете.

О местонахождении Ермакова не сообщают ни власти США, ни Австралии, ни Великобритании.

• Source: https://www.legislation.gov.au/F2024L00099/latest/text

• Source: https://ofac.treasury.gov/recent-actions/20240123

• Source: https://www.gov.uk/government/news/uk-and-allies-sanctions-russian-cyber-hacker

• Source: https://www.foreignminister.gov.au/...ctions-response-medibank-private-cyber-attack

 

[eidelman]

Щемят русских везде

 

[donkey-fuller]

I find it very interesting they where able to locate them and find a photo of them.

Brian Krebs wrote an article on him: https://krebsonsecurity[.]com/2024/01/who-is-alleged-medibank-hacker-aleksandr-ermakov/

 

[tabac]

США, Австралия и Великобритания ввели санкции против россиянина Александра Ермакова, ответственного за взлом австралийской страховой компании Medibank.

Правительство США заявляет, что Ермаков и другие участники атаки связаны с поддерживаемой РФ бандой киберпреступников REvil.

По данным OFAC, в октябре 2022 года операторы программы-вымогателя похитили 9,7 млн записей о нынешних и бывших клиентах Medibank. Когда компания отказалась выплатить выкуп в размере $10 млн, хакеры выборочно раскрыли весьма конфиденциальные медицинские данные, в том числе связанные с абортами, ВИЧ и злоупотреблением алкоголем, добавляет Krebs On Security.

Данные: Министерство иностранных дел и торговли Австралии.

33-летний Александр Ермаков известен под псевдонимами GustaveDore, JimJones и Blade Runner. Он стоял за разработкой программы-вымогателя Sugar (Encoded 01), используя шифровальщик REvil.

Специалисты считают REvil, также известную как Sodinokibi, одной из крупнейших хакерских группировок в мире. Она причастна к нескольким масштабным взломам — злоумышленники распространяли программы-вымогатели и требовали выкуп в криптовалюте. Ущерб от их деятельности составил не менее $200 млн.

Напомним, в июле 2021 года даркнет-сайты REvil внезапно ушли в офлайн.

В ноябре того же года американские власти ввели санкции в отношении россиянина Евгения Полянина и украинца Ярослава Васинского, сотрудничавших с хакерами.

В январе 2022 года ФСБ сообщила о «ликвидации» группировки REvil и задержании ее предположительных участников на основании обращения властей США. В ходе следствия МВД РФ конфисковало свыше 300 млн рублей, $950 000, более €1 млн, а также 19,9 ВТС.

https://krebsonsecurity[.]com/2024/01/who-is-alleged-medibank-hacker-aleksandr-ermakov/

 

[marmalade]

Конечно им пофиг на утечку, они сами барыжат данным ВИЧ и онкобольных, продают их другим конторам по продаже плацебо или чудо приборов, финальная выкачка бабок перед смертью. А пацаны по незнанке намотали себе чужих проблем, а других избавили и предоставили алиби.

 

[Rehub]

Американский ИБ-исследователь Брайан Кребс (Brian Krebs) изучил цифровые следы, оставленные 33-летним россиянином Александром Ермаковым, на которого власти США, Великобритании и Австралии наложили санкции из-за подозрений в атаке на корпорацию Medicare. В частности, Кребсу удалось связать Ермакова с его соотечественником, имевшим, по некоторым данным, отношение к краже данных миллионов банковских карт в первой половине 2010-х.

В санкциях говорится, что Ермаков использовал несколько никнеймов на русскоязычных даркнет-форумах, в том числе GustaveDore, JimJones и Blade Runner. Поиск по первому из них в базах данных платформы киберразведки Intel 471 показывает, что этот пользователь создал в ноябре 2021 года партнерскую программу-вымогатель Sugar (также известную как Encoded01), нацеленную на отдельные устройства и конечных пользователей, а не на корпорации.

В ноябре 2020 года аналитики Intel 471 пришли к выводу, что псевдоним GustaveDore применял и управлял несколькими различными штаммами программ-вымогателей, включая один неизученный и один, разработанный группировкой REvil. Тогда же пользователь разместил на нескольких площадках пост о том, что у него есть связи в российской ИТ-компании Shtazi, которая может поспособствовать в решении задач, связанных с программированием, веб-разработкой и управлением репутацией.

Поиск в Google по запросу «shtazi[.]ru» в числе первых выдает пост в Instagram от пользователя по имени Михаил Борисович Шефель, который пишет о Shtazi так, будто это его собственный бизнес. В декабре 2023 года Шефель был уличен Кребсом в том, что он — небезызвестный Rescator — киберпреступник, укравший в 2013-2014 годах данные десятков миллионов платежных карт у Target, Home Depot и других.

Более детально указать на связь между двумя киберпреступниками Кребсу не удалось, зато он вспомнил, что украденные у Medicare данные выкладывались в блоге REvil уже после того, как группировка формально прекратила свое существование. Это может указывать на принадлежность Ермакова как минимум к блогу сообщества.