Федеральное бюро расследований (ФБР) США раскрыло методы, которые с конца 2020 года хакеры используют для нападений на американские организации. В опубликованном сообщении идет речь о длительной кибератаке с применением программ-вымогателей, к которой могли быть причастны «русские хакеры».
«ФБР стало известно о киберпреступной группе, которая называет себя OnePercent Group. Она использует Cobalt Strike (специальный фреймворк для тестирования систем на безопасность, который активно применяется и хакерами, — прим. «Ленты.ру») для проведения атак на американские компании с ноября 2020 года, — говорится в заявлении американского ведомства. — OnePercent Group шифрует данные и выводит их из систем жертв. После этого члены группировки связываются с жертвами по телефону и электронной почте, угрожая выложить украденные данные в даркнете и интернете, если им не будет выплачен выкуп в виртуальной валюте».
ФБР связывает деятельность OnePercent Group с объединениями, которые на Западе традиционно относят к категории «русских хакеров»: REvil, Maze и Egregor. Главным орудием киберпреступников ФБР называет почтовые рассылки, содержащие фишинговые вложения. С их помощью на компьютер жертвы загружался троян IcedID. Благодаря Cobalt Strike хакеры беспрепятственно перемещались по сетям американских компаний. Непосредственно для кражи данных использовалась RClone — безобидная программа для синхронизации данных, которую киберпреступники давно приспособили под свои нужды.
Группировка REvil, судя по всему, перестала существовать в июле этого года. Все имевшие к ней отношение сайты даркнета были отключены. В частности, исчез блог группировки, в котором говорилось о жертвах атак и доходах от интернет-вымогательства, а также сайты, через которые REvil вела переговоры с атакованными компаниями и получала платежи. За четыре дня до этого состоялся телефонный разговор российского президента Владимира Путина и его американского коллеги Джо Байдена. В ходе него американский лидер призвал Путина действовать решительнее в борьбе с хакерскими группами.