Русский военный корабль, иди нах*й.
Пожертвувати на армію
×
Упс!
Не вдала спроба:(
Будь ласка, спробуйте ще раз.

«Одна з наймасштабніших кібератак в історії». Чому ФБР полює на 22-річного українця Ярослава Васинського

profile-img
Антон Єганов
3 січня 2022 9 хвилин читання

115 років ув'язнення. Таке покарання загрожує 22-річному українцю Ярославу Васинському, якщо прокурори доведуть його участь у кібератаках на американські компанії. Васинського затримали у Польщі в жовтні, а минулого тижня суд дозволив екстрадувати його до США.

SPEKA розповідає, що відомо про українського комп'ютерного генія, у чому саме його підозрюють та як хакерські групи примушують світові компанії сплачувати мільйонні викупи.

Атака на Kaseya

Кібератаку на американського розробника ПЗ Kaseya 2 липня 2021 року називають однією з наймасштабніших в історії.

Тоді по всьому світу постраждали приблизно 1500 компаній. Найбільше у Швеції: тут на тиждень зупинилися сотні супермаркетів мережі Coop. Касові апарати не працювали, на екранах комп'ютерів з'явилося повідомлення з вимогою викупу. Також постраждали місцеві аптеки та автозаправки, державна залізниця та телеканал SVT.

Тоді ж упали міські комп'ютерні системи у двох містечках в американському штаті Меріленд. А у Новій Зеландії 11 шкіл були змушені на дві доби вимкнути свої комп'ютерні мережі.  Усі вони використовували програмне забезпечення від Kaseya.

Як з'ясувалося, кіберзлочинцям вдалося запустити в мережу цієї компанії вірус-здирник. Він зашифрував файли, а хакери вимагали за розшифрування $70 млн у біткоїнах.

На думку слідства, саме Васинський у липні 2021-го запустив вірус-шифрувальник у систему компанії Kaseya

Лише 23 липня Kaseya вдалося відновити доступ до файлів. За офіційною версією, викуп зловмисникам вони не сплачували, а ключ для розшифрування отримали «від третьої сторони». З підприємств, що зазнали атаки через ПЗ від Kaseya, деякі відновили свої дані з нуля, а деякі таки змушені були відкупитися.

Одним із тих, кого ФБР вважає відповідальним за цю атаку, є 22-річний уродженець містечка Дубровиця Рівненської області Ярослав Васинський.

Школяр із Дубровиці

«Він був таким собі генієм. Кожне завдання бачив по-своєму і не любив, коли йому вказували, що робити», — розповідав журналістам Bloomberg учитель Дубровицької школи Сергій Берестень.

Берестень навчав Васинського інформатики. Але пригадує, що вже на той момент його учень міг легко розблокувати шкільний комп'ютер чи вимкнути учительский контроль навіть без пароля. Тоді ж Васинський переміг у кількох конкурсах із програмування.

У старших класах хлопець почав працювати — ремонтував мобільні телефони та розробляв вебсайти. Як розповідає його вчитель, заробляв на вищу освіту. 2016-го поїхав навчатися до польського Любліна.

У російській соцмережі «ВКонтакте» є сторінка користувача на ім'я Ярослав Васинський. Решта даних теж збігаються: підписка на групи «Типова Дубровиця», «Типовий Люблін» та навіть на групу «Ремонт телефонів». Місцем навчання у Любліні зазначений місцевий університет підприємництва та адміністрації.

Фото (як і записів) на сторінці небагато. На найраніших із них школяр років 13-14 позує з дипломами переможця комп'ютерних змагань. На найпізніших той самий хлопчина 3-4 роки по тому шпацирує біля Лувру в Парижі та собору Дуомо в Мілані. На окремому фото — Mercedes із польськими номерами.

Людина, яка вела цю сторінку, востаннє відвідувала її 2 жовтня 2021 року. А 8 жовтня Ярослава Васинського затримали у польському містечку Дорогуськ, щойно він перетнув кордон, повертаючись з України.

Затримали Васинського на вимогу США та звинуватили у зламі комп'ютерів, здирництві, відмиванні грошей та в участі в хакерському угрупованні REvil.

Дональд Трамп, Apple та інші жертви REvil

Хакерська група REvil (скорочення від Ransomware Evil, також відома під назвою Sodinokibi) з'явилася 2019-го. І за неповні два роки стала ледь не найуспішнішою подібною групою у світі.

Спеціалізувалася вона на так званих RaaS-операціях (ransomware-as-a-service, здирництво як послуга). Найголовніший її «продукт» — однойменний вірус, який блокує файли на комп'ютері жертви, після чого за розшифрування можна вимагати чималі гроші.

Однак цим хакери не обмежувалися. Зазвичай за ті самі дані вони вимагали гроші двічі: уперше власне за повернення доступу, а вдруге за непоширення. Якщо жертва відмовлялася платити, публікували ці дані на своєму сайті або ж продавали ще комусь.

Жертвами REvil протягом 2020-го стали Дональд Трамп (за компромат на нього вимагали $42 млн), Леді Гага та Мадонна. У квітні 2021-го групі вдалося вкрасти дані про майбутні продукти Apple (два лептопи та новий Apple Watch). А місяцем пізніше REvil атакували JBS — найбільшого виробника м'яса у світі. Відновити роботу своїх серверів компанія змогла, лише сплативши здирникам $11 млн у біткоїнах.

Як підсумовував генеральний прокурор США Меррік Гарланд, вірусом-шифрувальником REvil за всю його історію заразили 175 тис. комп'ютерів, а загальна сума виплат зловмисникам становила $200 млн.

За липневу атаку на Kaseya відповідальність теж узяли REvil.

Про походження та склад групи мало що відомо. За деякими свідченнями, спілкуються між собою вони російською і, можливо, базуються теж у Росії. 

Цікаво, що сайти групи перестали працювати, і сама вона зникла 13 липня 2021-го — одразу після атаки на Kaseya та жорсткої телефонної розмови президента США Джо Байдена з Володимиром Путіним. Байден тоді вимагав від Путіна «діяти, оскільки відомо, що здирницькі операції йдуть з його території».

Як стверджує оглядач ВВС з кібербезпеки Джо Тайді, після цієї розмови компанія Kaseya і отримала ключ для розшифрування своїх уражених даних. Передали його від імені керівника REvil — особи під ніком Unknown.

Rabotnik береться за роботу

Саме Unknown у липні 2019-го розмістив на одному з форумів оголошення: запрошував брати участь у поширенні шифрувальника REvil. У грудні того ж року отримав відповідь від одного з користувачів: «Привіт, це rabotnik. Хочу повернутися до роботи».

Як ідеться в обвинувальному акті на сайті міністерства юстиції США, під ніком rabotnik ховався тоді ще 19-річний Ярослав Васинський.

Американські слідчі вважають, що Васинський працював із REvil як поширювач (affiliate). Завдання поширювачів— запустити вірус у систему, а решту виконають розробники програми. Поширювачі зазвичай отримували 60-70% від викупу (залежно від того, як довго співпрацювали з групою).

На думку слідства, саме Васинський у липні 2021-го запустив вірус-шифрувальник у систему компанії Kaseya. До того він нібито вже брав участь у кібератаках на інші американські компанії у травні 2019-го.

Як ФБР вийшло на Васинського та які в американського слідства є докази, в обвинувальному акті не розкривається. Сам українець у розмовах із польськими прокурорами всі звинувачення заперечував.

Однак як пише Bloomberg, минулого тижня суд Любліна дозволив екстрадувати Васинського до США. Його адвокат Лешек Ціхон відмовився розповідати, чи будуть вони подавати апеляцію на це рішення.

Якщо Васинського екстрадують та всі звинувачення доведуть, йому загрожує 115 років в американській в'язниці.

Мільйонер із Барнаула та інші підозрювані

Одночасно з Васинським американські прокурори висунули звинувачення й 28-річному росіянину Євгену Поляніну. Він, на думку слідства, теж був одним із розповсюджувачів REvil і брав участь в атаці на Kaseya. Американський мін'юст перехопив $6 млн, які нібито прямували Поляніну як викуп.

Полянін нині перебуває в розшуку ФБР. Американські правоохоронці вважають, що він ховається в російському Барнаулі. А британське видання Daily Mail нещодавно опублікувало розслідування, в якому йдеться, що Полянін мешкає в будинку за $380 тис. та їздить на Toyota Land Cruiser за $74 тис.

За кілька днів до оголошення обвинувачень Васинському і Поляніну румунські правоохоронці заарештували ще двох розповсюджувачів REvil.

Саме ж угруповання досі є неактивним. На думку оглядача ВВС з кібербезпеки Джо Тайді, учасники REvil можуть згодом повернутися «до справи», але вже під іншою назвою. Американський мін'юст пропонує за інформацію, яка допоможе затримати членів групи, від $5 до $10 млн. 

Тим часом спеціалісти з кібербезпеки розробили дешифрувальник, який може впоратися з вірусом REvil. Отримати інструкцію можна, зокрема, на сайті української кіберполіції. Але водночас там наголошують: деякі версії вірусу досі розшифрувати неможливо. 

0
Прокоментувати
Інші матеріали

Kabanchik.ua поверне функцію «Безпечної угоди» для фрилансерів

Христина Коновалова 21 хвилину тому

Кіберзлочинці дедалі частіше використовують дипфейки. Як цьому протидіяти

Вадим Добровольський 28 вересня 2022 17:32

Поліція Британії заарештувала хакера, підозрюваного у зливі геймплею GTA 6

Вадим Добровольський 27 вересня 2022 10:10

Відеосервісу TikTok у Британії загрожує штраф у 27 млн фунтів за нездатність захистити конфіденційність дітей

Вадим Добровольський 26 вересня 2022 19:35

Кіберскладова цієї війни важлива: в Україні розробляють стратегію кібербезпеки

Ірина Маринюк 23 вересня 2022 15:16