Минюст США предъявил обвинения двум хакерам из Ирана — они обвиняются в создании и внедрении опасного вируса-вымогателя, который шифровал файлы пользователя и требовал за это многотысячный выкуп. При этом из-за действий киберпреступников была парализована работа целых городов, что, по мнению прокурора, является «посягательством» на американский образ жизни.

Деньги не главное

Министерство юстиции США предъявило обвинения двум гражданам Ирана, которых обвиняют в масштабных кибератаках. Фарамарз Шахи Саванди и Мохаммад Мехди Шах Мансури ответственны за создание вируса-вымогателя SamSam.

Сообщается, что иранцы смогли получить $6 млн от 200 своих жертв, среди которых числятся не только рядовые пользователи, но и целые американские города — Атланта и Ньюарк.

Из-за этого инцидента Министерству финансов пришлось впервые наложить санкции на биткоин-кошельки, так как все средства, полученные хакерами в качестве выкупа, хранились именно на них.

SamSam начал заражать компьютеры в 2015 году, специализируясь на атаках на больницы и объекты инфраструктуры. Как и другие вирусы-вымогатели, SamSam блокировал компьютер пользователя и требовал за дешифровку денежный выкуп в биткоинах, причем сумма иногда доходила до десятков тысяч долларов. Как утверждает следствие, через кошельки обвиняемых прошло свыше 7 тыс. транзакций.

Как заявил прокурор США Крейг Карпенито, главной целью Саванди и Мансури были не деньги.

«Они пытались навредить нашим учреждениям и критической инфраструктуре. Они пытались посягнуть на наш образ жизни», — заявил Карпенито.

Одним из самых громких «дел» хакеров стала атака на Атланту, штат Джорджия, в марте 2018 года. Тогда от действий злоумышленников пострадали базовые муниципальные функции — например, горожане не могли оплатить свои счета или воспользоваться парковочными счетчиками, так как транзакция не могла пройти через зараженную сеть.

Минюст утверждает, что Саванди и Мансури провели кибератаки в 43 штатах Америки, но при этом не разглашает, сколько человек пострадало в результате. Ранее СМИ сообщали о больнице Indiana Hospital Hancock Health, которая приняла решение заплатить мошенникам за разблокировку компьютеров, перечислив им $55 тыс.

К сожалению, как часто бывает в подобных случаях, правосудие над преступниками может и не свершиться — они пока не задержаны.

«Несмотря на то что обвиняемые находятся в Иране и пока вне досягаемости американских правоохранительных органов, их могут задержать во время путешествия, а США уже исследует другие способы возмещения ущерба», — говорится в пресс-релизе Министерства юстиции.

Хакеры нацелились на города

Как пояснил специалист технического сопровождения сервисов ESET Russia Андрей Ермилов, SamSam — это не столько вирус, сколько таргетированные атаки на организации с уязвимостью в сети. Злоумышленники выискивали такие сети, проникали в них по RDP [протокол удаленного рабочего стола]. После этого начинался второй акт, где они получали права доменного администратора. Для этого использовалась целая комбинация инструментов, в том числе и довольно известный Mimikatz. Получив права администратора, злоумышленники завершали атаку, разворачивая шифраторы на все ПК в сети.

«При этом заражение больше походило на обычную установку легитимного ПО. Завершив третий акт, они начинали требовать деньги за доступ к файлам. Это очень напоминает рейдерский захват организации, только тут цель — получить выкуп», — рассказал эксперт.

Специалисты Check Point описали вирус-вымогатель SamSam еще в 2016 году. Он может быть доставлен на компьютер различными способами — один из них использует уязвимость Windows, которая не требует от пользователя открыть зараженный файл или перейти по ссылке. Злоумышленники могут запустить программу-вымогатель удаленно после обнаружения незакрытой уязвимости на сервере и проникновения в сеть. После проникновения, используя те же уязвимости, вирус-вымогатель распространяется по локальной сети и заражает другие устройства.

Источник: gazeta.ru