33 миллиона перуанцев в заложниках у Rhysida: почему правительство делает вид, что всё ОК

Правительственные системы Перу оказались парализованы в результате масштабной кибератаки. Ответственность взяла на себя хакерская группировка Rhysida и уже потребовала выкуп за похищенные данные.

Злоумышленники разместили информацию о взломе государственного портала южноамериканской страны в даркнете поздним вечером четверга. На выполнение требований власти получили ультимативный срок — всего шесть дней до 9 мая. Сумма запрошенного выкупа пока не разглашается.

Однако почему-то чиновники решили, что отрицание в такой ситуации будет лучшей стратегией. Согласно заявлению официальных лиц, никакой хакерской атаки не было — возникли лишь технические неполадки в работе сайта.

Независимые эксперты подтверждают: главный государственный портал Перу Gob.pe действительно недоступен . В попытке сгладить ситуацию власти выпустили пресс-релиз, где говорится о плановых технических работах. Эту информацию приводит разведывательная фирма Venerix , отмечая при этом, что пока удалось проверить только 22% заявлений Rhysida относительно взлома.

Масштаб возможной утечки вполне внушительный — на правительственном портале Перу, страны с населением более 33 миллионов человек, хранятся данные общенационального значения. Среди них: информация паспортного учета, налоговые сведения, база медицинского страхования, полицейские досье, документация о трудоустройстве граждан.

Хакеры из Rhysida, известные тактикой двойного вымогательства, выставили якобы похищенные данные на продажу за 5 биткоинов (около 488 тысяч долларов США). При этом точный объем украденной информации не раскрывается. В своем традиционном стиле злоумышленники призывают потенциальных покупателей "не упустить уникальную возможность" и обещают продать данные в единственные руки, без права перепродажи.

На сайте группировки даже появились образцы предположительно похищенных файлов. Большинство из них нечитаемы, однако среди примеров обнаружен административный документ с официальной печатью, датированный июнем 2023 года.

Случай с Перу — не первая атака на правительственные ресурсы в Латинской Америке. В ноябре прошлого года, например, жертвой кибергруппировки RansomHub стала Мексика: преступники вывели из строя официальный портал страны и заявили о краже свыше 300 гигабайт информации.

За время своего существования с мая 2023 года Rhysida совершила нападения на 182 организации. Согласно досье Министерства обороны США, злоумышленники не ограничиваются конкретным сектором, а действуют по принципу удобного случая, атакуя образовательные учреждения, медицинские организации, производственные предприятия и органы местного самоуправления.

В начале текущего года хакеры потребовали миллион долларов от администрации монреальского района Нор в провинции Квебек. А летом прошлого года успешно атаковали муниципалитет Колумбуса в Огайо, что привело к многонедельным перебоям в работе городских служб.

Конец 2024 года ознаменовался дерзкой атакой на международный аэропорт Сиэтл-Такома. Злоумышленники парализовали системы одного из крупнейших транспортных узлов западного побережья США, из-за чего сотрудникам Delta Airlines, Singapore Airlines и Alaska Airlines пришлось выписывать посадочные талоны вручную. За восстановление работы систем запросили 100 биткоинов.

В октябре того же года жертвой Rhysida стала благотворительная организация Easterseals, помогающая людям с ограниченными возможностями. За похищенные данные хакеры потребовали более 1,3 миллиона долларов.

По данным исследования Trend Micro, опубликованного в феврале 2024 года, группировка обычно проникает в системы через фишинговые атаки. В некоторых случаях злоумышленники маскировались под команду специалистов по кибербезопасности, предлагая жертвам помощь в поиске уязвимостей. После получения доступа к сети они используют инструменты тестирования Cobalt Strike для поиска слабых мест и запуска собственного программного обеспечения для шифрования данных.

Специалисты также отмечают связь Rhysida с другой хакерской группой — Vice Society, использующей схожие методы работы. Предполагается, что группировки сотрудничают, деля между собой полученные выкупы. Среди прочих громких атак Rhysida — взломы газеты Washington Times, Британской национальной библиотеки, детской больницы имени Энн и Роберта Лури в Чикаго, а также сети медицинских учреждений Prospect Medical Group.

В феврале текущего года исследователям из Корейского агентства по безопасности в интернете удалось взломать шифровальный код группировки. Специалисты разработали и опубликовали бесплатный инструмент для расшифровки данных, снабдив его подробной инструкцией.