Согласно судебным документам, с которыми ознакомился BleepingComputer, в августе ФБР изъяло 2,3 миллиона долларов у известного филиала по вымогательству REvil и GandCrab.
В опубликованной сегодня жалобе ФБР изъяло из кошелька Exodus 3 августа 2021 года 39,89138522 биткойна на сумму примерно 2,3 миллиона долларов по текущим ценам (1,5 миллиона долларов на момент изъятия).
Exodus - это настольный или мобильный кошелек, который владельцы могут использовать для хранения криптовалюты, включая биткойны, Ethereum, Solana и многие другие.
ФБР не сообщает, как они получили доступ к кошельку, кроме того, что он находится у них на хранении, указывая, что они, вероятно, получили доступ к закрытому ключу кошелька или секретной кодовой фразе.
"Соединенные Штаты Америки подают эту подтвержденную жалобу in rem на 39,89138522 биткойнов, изъятых из кошелька Exodus (" собственность ответчика "), который в настоящее время находится и находится на хранении и под управлением Далласского отделения Федерального бюро расследований (" ФБР "), One Justice Way, Даллас, Техас ", - говорится в жалобе Соединенных Штатов на конфискацию имущества .
Далее в жалобе говорится, что кошелек содержал выкуп REvil, принадлежащий аффилированному лицу, идентифицированному как «Александр Сикерин, а / к / а Александр Сикерин, а / к / а Александр Сикерин» с адресом электронной почты'engfog1337@gmail.com . '
Хотя ФБР не указывает онлайн-псевдоним злоумышленника, имя engfog в адресе электронной почты связано с хорошо известным филиалом GandCrab и REvil / Sodinokibi, известным как Lalartu.
Организации GandCrab и REvil работали как программа-вымогатель как услуга (RaaS), где основные операторы сотрудничают со сторонними хакерами, известными как аффилированные лица.
В рамках этой договоренности основные операторы будут разрабатывать и управлять программным обеспечением для шифрования / дешифрования, платежным порталом и сайтами утечки данных. Перед филиалами стоят задачи взлома корпоративных сетей, кражи данных и развертывания программ-вымогателей для шифрования устройств.
Любые выплаты выкупа затем будут разделены между аффилированным и основным операторами, при этом операторы обычно получают 20-30% выкупа, а аффилированные лица - остальное.
В отчете REvil McAfee исследователи проследили за денежным следом известного злоумышленника, известного как Lalartu, аффилированного лица операций с программами-вымогателями GandCrab и REvil.
В 2019 году злоумышленник опубликовал на русскоязычном хакерском форуме сообщение о том, что он работал с GandCrab и переключился на REvil после закрытия предыдущей операции .
После того, как отчет был опубликован, исследователь безопасности Алон Гал попытался выяснить настоящую личность Лаларту .
В рамках своего исследования Гал отследил Лаларту по псевдонимам «Engfog» или «Eng_Fog», что соответствует адресу электронной почты engfog1337@gmail.com, указанному в жалобе ФБР.
После дальнейших разговоров с исследователями безопасности BleepingComputer подтвердил, что Лаларту был идентифицирован как «Александр Сикерин», имя которого указано в жалобе.
В ноябре Министерство юстиции объявило, что ФБР конфисковало выкуп на сумму 6 миллионов долларов, уплаченный банде вымогателей REvil.
Неясно, являются ли эти 2,3 миллиона долларов частью ранее объявленной суммы или дополнительными выкупами, конфискованными ФБР.
Продолжающаяся стратегия правоохранительных органов по подрыву экономики и партнерских систем операций с программами-вымогателями приносит свои плоды.
Эта деятельность привела к многочисленным арестам и разрушениям инфраструктуры, в том числе:
Аресты и захват инфраструктуры также заставляют банды вымогателей прекратить свои операции, в том числе REvil в октябре и BlackMatter в июле .
В опубликованной сегодня жалобе ФБР изъяло из кошелька Exodus 3 августа 2021 года 39,89138522 биткойна на сумму примерно 2,3 миллиона долларов по текущим ценам (1,5 миллиона долларов на момент изъятия).
Exodus - это настольный или мобильный кошелек, который владельцы могут использовать для хранения криптовалюты, включая биткойны, Ethereum, Solana и многие другие.
ФБР не сообщает, как они получили доступ к кошельку, кроме того, что он находится у них на хранении, указывая, что они, вероятно, получили доступ к закрытому ключу кошелька или секретной кодовой фразе.
"Соединенные Штаты Америки подают эту подтвержденную жалобу in rem на 39,89138522 биткойнов, изъятых из кошелька Exodus (" собственность ответчика "), который в настоящее время находится и находится на хранении и под управлением Далласского отделения Федерального бюро расследований (" ФБР "), One Justice Way, Даллас, Техас ", - говорится в жалобе Соединенных Штатов на конфискацию имущества .
Далее в жалобе говорится, что кошелек содержал выкуп REvil, принадлежащий аффилированному лицу, идентифицированному как «Александр Сикерин, а / к / а Александр Сикерин, а / к / а Александр Сикерин» с адресом электронной почты'engfog1337@gmail.com . '
Хотя ФБР не указывает онлайн-псевдоним злоумышленника, имя engfog в адресе электронной почты связано с хорошо известным филиалом GandCrab и REvil / Sodinokibi, известным как Lalartu.
Таргетинг на аффилированных лиц
Организации GandCrab и REvil работали как программа-вымогатель как услуга (RaaS), где основные операторы сотрудничают со сторонними хакерами, известными как аффилированные лица.
В рамках этой договоренности основные операторы будут разрабатывать и управлять программным обеспечением для шифрования / дешифрования, платежным порталом и сайтами утечки данных. Перед филиалами стоят задачи взлома корпоративных сетей, кражи данных и развертывания программ-вымогателей для шифрования устройств.
Любые выплаты выкупа затем будут разделены между аффилированным и основным операторами, при этом операторы обычно получают 20-30% выкупа, а аффилированные лица - остальное.
В отчете REvil McAfee исследователи проследили за денежным следом известного злоумышленника, известного как Lalartu, аффилированного лица операций с программами-вымогателями GandCrab и REvil.
В 2019 году злоумышленник опубликовал на русскоязычном хакерском форуме сообщение о том, что он работал с GandCrab и переключился на REvil после закрытия предыдущей операции .
После того, как отчет был опубликован, исследователь безопасности Алон Гал попытался выяснить настоящую личность Лаларту .
В рамках своего исследования Гал отследил Лаларту по псевдонимам «Engfog» или «Eng_Fog», что соответствует адресу электронной почты engfog1337@gmail.com, указанному в жалобе ФБР.
После дальнейших разговоров с исследователями безопасности BleepingComputer подтвердил, что Лаларту был идентифицирован как «Александр Сикерин», имя которого указано в жалобе.
В ноябре Министерство юстиции объявило, что ФБР конфисковало выкуп на сумму 6 миллионов долларов, уплаченный банде вымогателей REvil.
Неясно, являются ли эти 2,3 миллиона долларов частью ранее объявленной суммы или дополнительными выкупами, конфискованными ФБР.
Продолжающаяся стратегия правоохранительных органов по подрыву экономики и партнерских систем операций с программами-вымогателями приносит свои плоды.
Эта деятельность привела к многочисленным арестам и разрушениям инфраструктуры, в том числе:
- Нарушение работы вымогателей Netwalker и арест аффилированного лица в Канаде.
- Арест двух членов операции Эгрегор привели к закрытию организации.
- Арест 12 человек , как полагают, связаны с вымогателей атак против 1,800 жертв в 71 странах.
- Арест украинского гражданина считается за вымогателями атаки Kaseya .
Аресты и захват инфраструктуры также заставляют банды вымогателей прекратить свои операции, в том числе REvil в октябре и BlackMatter в июле .
https://www.bleepingcomputer[.]com/...affiliate-of-revil-gandcrab-ransomware-gangs/
