- Платежи поступали от американских медицинских организаций, которые стали целью этих хакеров с прошлого года.
- ФБР успешно отследило платежи, определив, какое программное обеспечение для выкупа использовали хакеры.
По словам заместителя генерального прокурора Министерства юстиции США (Лизы Монако), американские правоохранительные органы отвоевали у северокорейских хакеров почти 500 000 долларов. Эта сумма представляла собой платежи за выкуп, произведенные американскими медицинскими организациями, в частности, медицинским центром в Канзасе и медицинским учреждением в Колорадо.
Монако проинформировал об этом, выступая на мероприятии по кибербезопасности, проходившем в Нью-Йорке. Монако сказала, что ФБР и Министерство юстиции США (Минюст) смогли пресечь деятельность спонсируемой государством хакерской группы после быстрого сообщения и сотрудничества со стороны жертвы.
По ее словам, ФБР обнаружило, что хакерская группа использовала программу Maui ransomware для своих нечестивых операций. В официальном заявлении Минюста говорится, что хакеры, спонсируемые Северной Кореей, зашифровали серверы медицинского центра в Канзасе в мае прошлого года. Затем они потребовали заплатить, прежде чем восстановить доступ к медицинскому центру.
Медицинский центр подал заявление властям после того, как заплатил хакерам в BTC 100 000 долларов. ФБР приступило к действиям сразу же после получения уведомления. При сотрудничестве с медицинским центром Канзаса ФБР позже выяснило, что хакеры использовали для своих атак программу Maui ransomware. Кроме того, ФБР отследило BTC, выплаченные медицинским центром Канзаса, до китайской группы, занимающейся отмыванием денег.
ФБР обнаружило, что медицинский центр в Колорадо три месяца назад заплатил 120 000 долларов на криптовалютный счет, отмеченный флагом. Этот счет является одним из тех, которые использует хакерская группа. В мае 2022 года правоохранительные органы также изъяли цифровые активы с двух криптовалютных счетов, которые также получали платежи от других медицинских учреждений США.
После этого инцидента министерство юстиции начало предпринимать необходимые действия, чтобы истребовать выплаты за выкупные программы и вернуть их медицинским фирмам. Мэтью Г. Олсен (помощник генерального прокурора) сказал, что это всегда хороший бизнес и способ защитить Соединенные Штаты, когда жертвы киберпреступлений сообщают об инциденте правоохранительным органам и сотрудничают в ходе расследования. Он также отметил, что возвращение правоохранительными органами таких средств жертвам является дополнительным преимуществом сотрудничества с ними.
Сведение к нулю угрозы
Несколько недель назад различные правительственные учреждения США сделали совместное публичное заявление о деятельности спонсируемых государством хакеров, нацеленных на американские медицинские фирмы и больницы. Белый дом также предупредил, что Северная Корея использует кибератаки и крипто-рандомные платежи по двум причинам.
Власти страны пытаются обойти экономические санкции и ищут деньги для финансирования своих оружейных программ. ФБР также сообщило, что государственная группировка Lazarus ответственна за кражу цифровых валют на сумму 620 миллионов долларов из игровой сети Web3 play-to-earn в марте этого года.
Кроме того, в отчете компании elliptic (аналитическая фирма, специализирующаяся на блокчейн) та же группа обвиняется в краже криптовалют на сумму 100 миллионов долларов из horizon bridge в прошлом месяце. Компания harmony blockchain из Сан-Франциско владеет и управляет провайдером услуг по переводу криптовалют horizon bridge.
Связанные: Северокорейская группа Lazarus названа хакерами, взломавшими Horizon Bridge на $100 млн.
На прошлой неделе исследователи из Центра анализа угроз Microsoft обнаружили вымогательскую программу ‘Holy Ghost’. По словам исследователей, эта программа-вымогатель является последней разработкой Северной Кореи и уже успешно использовалась против небольших фирм в разных странах в течение последних 12 месяцев.
