Сдавайте украденное
Верховный суд Ирландии выписал запретительный ордер в отношении киберпреступной группировки Conti, а правоохранительные органы опубликовали его на сайте группировки в даркнете.
Операторам Conti запрещается публиковать, продавать или передавать кому-либо бесплатно данные, украденные из инфраструктуры системы Управления здравоохранения (Health Security Executive) и Министерства здравоохранения Ирландии. В документе суда также содержится требование вернуть украденное и сдаться самим.
В то, что операторы Conti подчинятся этим требованиям, естественно, никто особо не верит. Однако есть нюансы.
Атака шифровальщика Conti на Службу здравоохранения Ирландии (Health Service Executive, HSE) и непосредственно на соответствующее министерство вызвала перебои в работе множества больниц страны. Возникли затруднения с доступом к диагностической информации, медицинским записям и общему замедлению обслуживания пациентов.
Суд Ирландии велел хакерской группировке Conti сдаваться
И если ИТ-специалистам Министерства здравоохранения удалось остановить атаку, то HSE повезло меньше: ее информационные системы оказались заблокированы шифровальщиком. Злоумышленники потребовали астрономическую сумму в качестве выкупа — $20 млн. Заодно они выкрали около 700 гигабайт данных, включая информацию о пациентах и работниках службы здравоохранения, контрактах, финансовые данные, зарплатные ведомости и пр.
Власти Ирландии сразу заявили, что никакого выкупа платить не станут.
Ключ отдали, данные нет
Операторы Conti (считается, что за этим шифровальщиком стоит русскоязычная группировка WizardSpider) в итоге опубликовали ключ дешифрования для файлов HSE, однако заявили, что намерены продать или опубликовать украденные данные, если им не выплатят деньги.
Легитимность ключа дешифровки подтвердилась, пишет издание Bleeping Computer, однако представители Министерства здравоохранения заявили, что будут пристально изучать его на предмет возможных вредоносных функций и эффективности. Случается, что ключи злоумышленников срабатывают неполностью или не срабатывают вовсе.
Суд решил
Что касается судебного ордера, то это уже не первый случай, когда подобные документы используются в рамках борьбы с шифровальными группировками.
Ранее поставщик кабельной продукции SouthWire добился вынесения аналогичного ордера против группировки Maze и ирландского провайдера, у которого хостился сайт, куда операторы Maze выгружали украденные у своих жертв данные.
Благодаря судебному предписанию сайт удалось заблокировать. Однако впоследствии Maze смогла перезапустить свой сайт и опубликовала на нем все, что было украдено у SouthWire.
Тем не менее, в Ирландии рассчитывают, что страны, где физически располагается инфраструктура шифровальщика Conti, примут наличие судебного ордера к сведению и окажут поддержку в нейтрализации шифровальщика.
«Переоценивать вероятность такого развития событий не стоит, — считает Анастасия Мельникова, эксперт по информационной безопасности компании SEC Consult Services. — Ликвидация инфраструктуры шифровальщика потребует масштабной международной операции, поскольку скорее всего она имеет распределенный характер, и ее хостинги располагаются сразу в нескольких странах».
Эксперт добавляет, что жест правоохранителей носит символический характер, но может быть своего рода «предупредительным выстрелом», за которым последует вполне реальная операция для пресечения деятельности группировки.
