ההאקר שתקף את קסייה – הוסגר לארה"ב

האקר אוקראיני, שהואשם בשנה שעברה בביצוע אחת ממתקפות הכופרה החמורות ביותר נגד מטרות אמריקניות – הוסגר לארצות הברית והתייצב למשפט השבוע.

בסוף 2021 הוגש כתב אישום נגד, ירוסלב וסינסקי, בן 22. לפיו, הוא ניגש לרשתות המחשבים הפנימיות של כמה קורבנות ארגוניים ותקף אותן בכופרה Sodinokibi/REvil, כדי להצפין את הנתונים במחשביהם ולסחוט אותם, כך לפי הצהרה של משרד המשפטים האמריקני. עוד נטען נגד וסינסקי כי היה אחראי למתקפת הכופרה נגד ספקית התוכנה קסייה (Kaseya).

בינואר השנה כנופיית ההאקרים הרוסית הנודעת לשמצה REvil – שחבריה מילאו את כיסיהם בדמי כופר בסייבר – נעצרה.

ה-FSB – שירות הביטחון הפדרלי הרוסי, שהוא ה"יורש" של הקג"ב – הודיע כי המעצרים בוצעו בכמה מקומות במדינת הענק, ביניהם במוסקבה ובסנט פטרסבורג. על פי ארגון הביון הרוסי, המבצע נערך לבקשת ארצות הברית.

ארה"ב העבירה לרוסיה את שמות ההאקרים שנמצאים ברוסיה, אשר עמדו מאחורי מתקפות סייבר רבות ומשמעותיות על האמריקנים. המעצרים עוררו חשד בקרב מומחים לנושאי רוסיה וסייבר, לגבי מניעיה של רוסיה. זאת לאור הדיווחים לפיהם רוסיה שוקלת לפלוש לאוקראינה, והאיום של ארה"ב בסנקציות כתגובה לכך.

היסטוריה עקובת פשעי סייבר וכופרות

REvil, אחת מקבוצות פשעי הסייבר האגרסיביות והמצליחות ביותר ברוסיה, הייתה תחת לחץ מצד רשויות אכיפת החוק העולמיות, כמו גם סייבר.קום, פיקוד הסייבר של ארה"ב. זה האחרון סייע להשבית רבות מהפעילויות הדיגיטליות של הכנופייה בשנה שעברה.

ניסו לשבש הפעילות שלה עד שנעצרה. אנשי ה-FBI מול קבוצת REvil. אילוסטרציה. מעובדת. מקור: Big Stock צילום: Big Stock

במסגרת המתקפה, ההאקרים השביתו חלק ממערכות ה-IT של הקורבנות, ודרשו דמי כופר לשחרור נעילת המחשבים' בסך 50 אלף דולר בכל אחד מהמקרים. המתקפה הפילה קורבנות בכמה מדינות, בהן ארצות הברית, בריטניה, גרמניה, דרום אפריקה, קנדה, גרמניה וקולומביה. היא בוצעה באמצעות חדירה לכלי לניהול מרחוק של רשתות קסייה. בין קורבנות המתקפה ההיא היו בתי ספר בניו זילנד, חברת טקסטיל בינלאומית, רשת חנויות מכולת שוודית ושתי עיירות במרילנד. על פי הבולשת, הקבוצה הניבה לעצמה רווחים בסך כ-200 מיליון דולר בתשלומים של דמי כופר בין אפריל 2019 ליוני 2021.

במסגרת המעצרים, נתפסו 426 מיליון רובל, כולל מטבעות קריפטוגרפיים, כמו גם מאות אלפי יורו, ועשרים מכוניות פאר יוקרתיות – פריט האהוב על פושעי סייבר רוסים.

לפי מומחים הבקיאים בנושא, מומחי מודיעין ואכיפת חוק הצליחו לחדור לתשתית רשת המחשבים של REvil והשיגו שליטה על חלק מהשרתים של הקבוצה. לאחר מכן, הדובר העיקרי של הקבוצה, שזהותו לא ידועה, נעלם מהרשת.

וסינסקי, מי שהואשם בכתיבת תוכנת הכופר של REvil – הידועה גם בשם Sodinokibi – נעצר ב-8 באוקטובר בפולין, גם אז לבקשת הרשויות בארה"ב. 

"ייתכן כי חברי REvil פגעו במטרות בתוך רוסיה, מה שגרם למבצע המערים נגדם", שיער טום קלרמן, ראש אסטרטגיית אבטחת סייבר ב-VMware. "אני מאמין שמי שנעצרו אינם ההנהגה הבכירה של הכנופייה, וכי לאחר המעצרים יערכו להם משפטי ראווה. בנוסף, נראה כי המעצרים ככל הנראה מבשרים על פלישה רוסית לאוקראינה. הם מכינים את שדה הקרב".

בכתב האישום נגד וסינסקי נטען כי הוא פרץ לקסייה בסוף השבוע של ה-4 ביולי בשנה שעברה, והפיץ, עם שותפים, את הכופרה ל-1,500 קורבנות.

בעוד שרוב העסקים בעולם שהותקפו, שותקו, אולם התמודדו עם דאגות מוגבלות, הרי היו מקומות בעולם בהם השיבוש הורגש בצורה חריפה: בשוודיה מאות סופרמרקטים נאלצו לסגור, בגלל שהקופות שלהם לא פעלו, או בניו זילנד, שם היו בתי ספר וגני ילדים שהושבתו.

לפי כתב האישום, אנשי REvil הם שטיפלו ישירות במשא ומתן על דמי הכופר, והם אלה שחילקו את הרווחים עם שותפים כמותה.