ФБР три недели не давало ключ-дешифратор заблокированным хакерами компаниям
Компромисс между попыткой нанести ущерб хакерам и оперативной помощью компаниям, ставшим жертвами программ-вымогателей, пытаются найти правоохранительные органы, сообщает 21 сентября газета The Washington Post со ссылкой на нескольких нынешних и бывших американских должностных лиц.
Для того, чтобы провести операцию по уничтожению хакерской группировки, Федеральное бюро расследований воздержалось от оперативной помощи компаниям, пострадавшим от вымогателей. ФБР почти три недели скрывало найденный цифровой ключ, позволяющий разблокировать компьютеры сотен предприятий и организаций, которые пострадали от крупной атаки вымогателей летом 2021 года.
Ключ был получен через доступ к серверам преступной группировки, стоявшей за июльской атакой. По оценкам аналитиков, его немедленное распространение могло бы помочь пострадавшим компаниям, в том числе школам и больницам, избежать затрат на восстановление в миллионы долларов.
Ключ скрывался от компаний, в том числе, потому что ФБР планировало провести операцию по ликвидации группировки, известной как REvil и стоящей за июльской хакерской атакой. Запланированное уничтожение так и не произошло, потому что в середине июля платформа REvil отключилась без вмешательства правительства США.
«Каждый раз мы задаем следующие вопросы: какова будет ценность ключа в случае его раскрытия? Сколько жертв? Кому можно было помочь?» — сказал на условиях анонимности специалист, знакомый с вопросом. По его словам, необходимо соблюдать баланс между ценностью потенциальной долгосрочной операции, разрушающей систему, и ценностью раскрытия ключа, который может помочь пострадавшим компаниям.
Через 19 дней после обнаружения ключа, который мог бы помочь ИТ-компаниям, ФБР поделилось им с компанией Kasey, программное обеспечение которой было заражено вредоносной программой. Для многих клиентов это было уже слишком поздно.
«Ключ дешифратора был бы хорош за три недели до того, как мы его получили, но мы уже начали полное восстановление систем наших клиентов», — сказал владелец IT-компании JustTech из Мэриленда Джошуа Джастис. У JustTech при хакерской атаки пострадали около 120 клиентов.
Представитель ФБР, не комментируя конкретный случай, заявил, что задержки при работе с другими агентствами США и международными партнерами неизбежны. Он сообщил, что во многих кибер-расследованиях для успеха необходимо межведомственное сотрудничество, что требует времени. По словам представителя ФБР, это позволяет нам оказывать наибольшее влияние, помогая большинству пострадавшим компаниям или потенциальным жертвам.
