Австралия публично назвала и ввела киберсанкции в отношении российского хакера за его предполагаемую роль в атаке с использованием программы-вымогателя в 2022 году , что стало первым в стране применением такого наказания.
результате атаки были украдены конфиденциальные личные данные 9,7 миллионов клиентов Medibank, одной из крупнейших частных страховых компаний Австралии: включая имена, даты рождения, медицинскую информацию и номера Medicare. По данным австралийских властей, некоторые из этих записей были опубликованы в даркнете.
Тогда федеральная полиция Австралии заявила, что следователи знают личности нападавших, но отказались назвать их имена. Во вторник австралийское правительство раскрыло имя человека, на которого наложены санкции — 33-летнего гражданина России, хакера Александра Ермакова.
Согласно правительственному пресс-релизу, санкции квалифицируют как уголовное преступление предоставление активов Ермакову, а также использование или обращение с его активами, в том числе через криптовалютные кошельки или платежи с помощью программ-вымогателей .
За преступление предусмотрено наказание в виде лишения свободы на срок до 10 лет. Правительство также наложило запрет на выезд Ермакова.
Австралийские власти «неустанно работали в течение последних 18 месяцев, чтобы разоблачить ответственных за кибератаку на Medibank Private», — заявил в пресс-релизе заместитель премьер-министра и министр обороны Ричард Марлес.
Расследование включало сотрудничество между федеральным разведывательным агентством «Австралийское управление сигналов», Федеральной полицией Австралии, ФБР и Агентством национальной безопасности (АНБ) в США и британским киберагентством GCHQ, а также с такими компаниями, как Microsoft ( MSFT ) и Medibank, заявил Марлес на пресс-конференции во вторник.
Эксперты по кибербезопасности заявили во время утечки данных, что она, вероятно, связана с REvil, которая ранее проводила крупные атаки на цели в США и других странах. Одна из таких атак на международного поставщика мяса JBS Foods в 2021 году привела к остановке всего предприятия компании по переработке говядины в США и побудила компанию выплатить выкуп в размере 11 миллионов долларов.
По запросу США разведывательное управление Федеральной службы безопасности (ФСБ) России в январе 2022 года задержало несколько человек, связанных с REvil, конфисковало миллионы долларов и совершило обыски в домах 14 человек.
Когда позже в том же году произошла атака на Medibank, эксперты заявили, что ее мог совершить член REvil, что подтвердили австралийские власти во вторник.
«REvil — лишь один из многих российских киберпреступных синдикатов, а те банды, которые мы знаем, динамичны и имеют множество партнеров. Таким образом, сбой в работе REvil в какой-то момент не прекращает ее деятельность», — заявила на пресс-конференции Эбигейл Брэдшоу, глава Австралийского центра кибербезопасности.
Однако, по ее словам, «киберпреступники торгуют анонимностью» — поэтому публичное упоминание Ермакова «наверняка нанесет вред» его деятельности, помимо финансового удара от санкций.
Марлес добавил, что благодаря этому объявлению «его личность теперь становится совершенно очевидной для всех агентств по всему миру, а также для всех, кто пытается с ним работать, так что это окажет очень существенное влияние на Александра Ермакова».
По словам Марлеса, расследование в отношении других лиц, причастных к нападению, продолжается.
Украденные данные принадлежали не только австралийским клиентам, но и 1,8 миллионам международных клиентов. Первоначальное требование о выкупе было предъявлено в размере 10 миллионов долларов (15 миллионов австралийских долларов). Позже сумма была снижена до 9,7 миллиона долларов, которые Medibank отказался выплатить.
Власти Австралии неоднократно призывали предприятия и частных лиц не платить выкуп киберпреступникам, утверждая, что уплата не гарантирует восстановление данных и предотвращение дальнейших атак, а также делает страну более серьезной мишенью.