Деталі
“Правоохоронні органи зазвичай максимально приховують інформацію про суб’єктів загроз, щоб зібрати докази, вести спостереження, а потім організувати арешт до того, як підозрювані встигнуть знищити докази або сховатися у країнах, які не мають договорів про екстрадицію. Проте в ході недавнього розкриття інформації про витік даних однієї з медичних організацій штату Орегон, схоже, випадково стало відомо, що ФБР вважає, що угруповання HelloKitty (FiveHands) ransomware діє з України”, — пише видання.
Цитата
“21 жовтня ФБР повідомило OAG, що воно захопило обліковий запис, що належить HelloKitty, українській хакерській групі, яка містила файли пацієнтів та співробітників OAG”, — йдеться у повідомленні Oregon Anesthesiology Group від 6 грудня.
“ФБР вважає, що HelloKitty використала вразливість у нашому сторонньому брандмаузері, що дозволило хакерам отримати доступ до мережі”, — повідомляли раніше у ФБР.
Ще деталі
Хоча програма HelloKitty ransomware, також відома як FiveHands, діє з січня 2021 року, подробиці про можливе місцезнаходження банди раніше не повідомлялися і не розкривалися.
Ніяких згадок про їхнє можливе місцезнаходження не було ні в оповіщенні CISA, ні в оповіщенні ФБР IC3, ні у звітах численних компаній з безпеки, таких як NCC Group, Cado Security, Malwarebytes, Palo Alto Networks, SentinelOne та Mandiant.
Оскільки за останні шість місяців українська поліція успішно затримала членів банд REvil, Clop та LockerGoga, а також інших, з’явилася реальна можливість того, що ця помилка OAG може наштовхнути українських хакерів HelloKitty на думку про необхідність переїзду до іншої юрисдикції.
Наразі угруповання HelloKitty все ще активне і здійснює атаки.
У більшості атак банда зазвичай використовує неоновлені пристрої SonicWall як точки входу в корпоративні мережі. Найгучнішою жертвою банди стала польська ігрова студія CD Projekt RED у лютому цього року.
Нагадаємо
У жовтні українського хакера спіймали на вірусних атаках на 100 іноземних компаній: збитки перевищили 150 млн доларів.