"Спустя лишь дни после того, как президент Байден потребовал, чтобы президент России Владимир Путин свернул деятельность групп хакеров-вымогателей, атакующих американские цели, самая агрессивная из них, внезапно ушла в оффлайн. Загадка в том, кто сделал это возможным", - пишет The New York Times.
"Американские разведывательные агентства определили, что ответственность за атаку на одного из крупнейших в Америке производителей говядины, JBS, несет группа под названием REvil (сокращение от "Ransomware evil"). Через две недели после встречи Байдена и Путина в Женеве в прошлом месяце, REvil взяла на себя ответственность за взлом, который затронул тысячи предприятий по всему миру во время выходных 4 июля. Эта новая атака привела к ультиматуму Байдена в телефонном звонке в пятницу президенту России. Позже Байден заявил, что "мы ожидаем, что они предпримут действия", и, когда позже репортер спросил, отключит ли он серверы группы, если этого не сделает Путин, президент просто сказал: "Да". Возможно, именно это он и сделал", - предполагает газета.
"Но это - только одно из возможных объяснений того, что произошло около часа ночи по Восточному времени во вторник, когда сайты группы в даркнете внезапно исчезли. В то время как многие приветствовали исчезновение хакеров из сети, это привело к тому, что некоторые мишени группы оказались "с носом", будучи не в состоянии заплатить выкуп, чтобы получить свои данные и снова запустить свой бизнес", - говорится в статье.
"Каков план для этих жертв?" - задается вопросом Кертис Миндер, исполнительный директор GroupSense, компании по защите от цифровых рисков, которая вела переговоры с вымогателями от имени юридической фирмы, данные которой были заблокированы.
"Существуют три основные теории о том, почему REvil, которая, казалось, упивалась публичностью и собирала огромные выкупы, в том числе 11 млн долларов от JBS, внезапно исчезла. Согласно первой, заблокировать сайты группы приказал Байден, отдав распоряжение Киберкомандованию США, в прошлом году доказавшему, что оно может сделать именно это, парализовав группу хакеров-вымогателей, которая, как оно опасалось, может использовать свои навыки для заморозки регистрации избирателей или других электоральных данных, на выборах 2020 года", - пишет The New York Times.
"Вторая версия состоит в том, что закрыть сайты группы приказал Путин. Если так, то это был бы жест, свидетельствующий о движении в направлении предупреждения Байдена, которое он также передал в более общих чертах во время встречи двух лидеров 16 июня в Женеве. И это произошло всего за день-два до того, как виртуальную встречу должна была провести американо-российская рабочая группа по этому вопросу, созданная во время встречи в Женеве", - сообщается в публикации.
"Третья теория заключается в том, что REvil решила, что стало слишком жарко, и сама вывела сайты оффлайн чтобы не попасть под перекрестный огонь между президентами США и России. Это то, что сделала другая базирующаяся в России группа, DarkSide, после атаки-вымогательства в отношении Colonial Pipeline. (...) Но многие эксперты считают, что выход DarkSide из дела был не чем иным, как цифровым театром, и что все ключевые таланты-вымогатели группы соберутся под другим именем. Если это так, то же самое может произойти с REvil, которая, по оценкам компании Recorded Future из Массачусетса, занимающейся кибербезопасностью, ответственна примерно за четверть всех изощренных атак-вымогательств на западные цели", - подчеркивается в статье.
"Аллен Лиска, старший аналитик разведданных в Recorded Future, считает, что если REvil исчезла, он сомневается, что это произошло добровольно. "Во всяком случае, эти парни - хвастуны, - сказал Лиска. - А мы не увидели никаких заметок, никакого бахвальства. Такое ощущение, что они бросили все под давлением"
"Звучали предположения, что давление могло исходить от России. Ожидается, что глава Киберкомандования США и директор Агентства национальной безопасности генерал Пола М. Накасоне получит полный перечень возможностей США против злоумышленников-вымогателей не раньше конца этой недели, сообщили несколько чиновников. И нет никаких доказательств, что сайты REvil были "арестованы" по постановлению суда, которые часто публикует Министерство юстиции США. Киберкоманование от комментариев отказалось", - говорится в публикации.
"Хотя закрытие REvil на данный момент дает Путину и Байдену шанс показать, что они противостоят проблеме, это также может дать хакерам-вымогателям возможность уйти со своей добычей, - констатирует издание. - Больше всего проигрывают компании и города, которые не получат свои шифровальные ключи и лишены доступа к своим данным, возможно, навсегда. (Часто, когда группы вымогателей распускаются, они публикуют свои шифровальные ключи. Во вторник этого не произошло)".
"Ожидается, что в ближайшие недели Байден развернет стратегию борьбы с атаками-вымогательствами, аргументируя это тем, что Colonial Pipeline и другие недавние атаки показывают, насколько серьезную угрозу для национальной безопасности представляет подрыв критически важной инфраструктуры. (...) Но Байдену, неоднократно предупреждавшему, что он нанесет ответный удар по российским "плохим игрокам", которые угрожают американской безопасности, также, возможно, придется вскоре продемонстрировать, как он планирует проводить в жизнь свою красную линию - если не против REvil, то против ее преемников и конкурентов", - пишет издание.
"Это проблема для Байдена, потому что в киберпространстве существует соблазн быть незаметным и направлять свой месседж очень тихо и целенаправленно. Но теперь, озвучив угрозу, он должен сказать американскому обществу и всему миру: "Вот что мы сделали", - указывает Пол Розенцвейг, ученый R Street Institute, организации в поддержку свободного рынка, и член Правовой группы по кибербезопасности при Американской ассоциации юристов.
"А некоторые из наиболее важных воздействий очень трудно совершить публично", - добавил он, потому что они могут привести к раскрытию американских возможностей.
В написании статьи приняли участие Николь Перлрот и Джулиан Барнс