Австралия публично назовава и санкционира руски хакер за изтичане на данни от Medibank
Австралия публично назова и наложи киберсанкции на руски хакер за предполагаемата му роля в атака с ransomware през 2022 г., при първото използване на наказанието в страната.
Атаката открадна чувствителни лични данни от 9,7 милиона клиенти на Medibank, един от най-големите частни здравни застрахователи в Австралия: включително имена, дати на раждане, медицинска информация и номера на Medicare. Някои от тези записи са публикувани в тъмната мрежа, според австралийските власти.
Тогава австралийската федерална полиция каза, че следователите знаят самоличността на нападателите, но отказа да ги назове. Във вторник австралийското правителство разкри името на санкционирания човек - руският гражданин Александър Ермаков, 33, предполагаем член на руската банда за рансъмуер REvil.
Санкциите превръщат в криминално престъпление предоставянето на активи на Ермаков или използването или боравенето с негови активи, включително чрез портфейли с криптовалута или плащания за рансъмуер, според съобщение на правителството.
Престъплението се наказва с лишаване от свобода до 10 години. Правителството наложи и забрана за пътуване на Ермаков.
Австралийските власти „работиха неуморно през последните 18 месеца, за да разкрият отговорните за кибератаката на Medibank Private“, каза Ричард Марлс, вицепремиер и министър на отбраната, в съобщението.
Разследването включваше сътрудничество между федералната разузнавателна агенция Australian Signals Directorate, Австралийската федерална полиция, ФБР и Агенцията за национална сигурност (NSA) в Съединените щати и киберагенцията на Обединеното кралство GCHQ — както и с компании, включително Microsoft (MSFT) и Medibank, каза Марлс на пресконференция във вторник.
Експертите по киберсигурност казаха по време на пробива на данни, че вероятно е свързан с REvil, който преди това е предприел големи атаки срещу цели в Съединените щати и другаде. Една такава атака срещу международния доставчик на месо JBS Foods през 2021 г. затвори цялата операция на компанията за преработка на говеждо месо в САЩ и накара компанията да плати откуп от 11 милиона долара.
По искане на САЩ разузнавателната агенция на Федералната служба за сигурност на Русия (ФСБ) задържа множество хора, свързани с REvil през януари 2022 г., иззе милиони долари и обискира домовете на 14 души.
Когато атаката на Medibank се състоя по-късно същата година, експерти казаха, че може да е била извършена от член на REvil - което австралийските власти потвърдиха във вторник.
„REvil е само един от многото руски киберпрестъпни синдикати, а онези банди, които познаваме, са динамични и имат множество партньори. Така че прекъсването на REvil в даден момент не прекратява дейността му“, каза на пресконференцията Абигейл Брадшоу, ръководител на Австралийския център за киберсигурност.
Въпреки това, каза тя, „киберпрестъпниците търгуват с анонимност“ — така че публичното назоваване на Ермаков „със сигурност ще навреди“ на дейността му, в допълнение към финансовия удар от санкцията.
Марлс добави, че с това съобщение „неговата самоличност, която сега е напълно ясна, е изложена на показ за всяка агенция по света, но също и за всеки, който иска да работи с него, така че това ще има много значително въздействие върху Александър Ермаков.“
Разследванията на други лица, свързани с нападението, продължават, каза Марлес.
Откраднатите данни принадлежат не само на австралийски клиенти, но и на 1,8 милиона международни клиенти. Беше направено първоначално искане за откуп за 10 милиона долара (15 милиона австралийски долара). По-късно той беше намален до 9,7 милиона долара, които Medibank отказа да плати.
Австралийските власти многократно призоваха фирми и физически лица да не плащат откупи на киберпрестъпници, като се аргументираха, че плащането не гарантира възстановяването на данни или предотвратяване на по-нататъшни атаки — и прави страната по-голяма мишена.