Повторный взлом сайта Минстроя России
243Повторный взлом сайта Минстроя России
02 января 2023 года хакеры, связанные с ТГ-каналом @Dumpforum заявили о взломе баз данных Минстроя России (minstroyrf.gov.ru) и потребовали в течении трех дней заплатить выкуп в размере 0.7 BTC, угрожая публикацией персональных данных граждан.
В качестве реквизитов для оплаты был указан биткоин адрес bc1qsm04wtgj30306l26z6cllgv7aemlfvhf4lep9l, зачисления на который по настоящее время все еще отсутствуют. Таким образом, выкуп оплачен не был, а по истечении установленного для оплаты срока данные пользователей все же были опубликованы в телеграмм-канале @Dumpforum.
Команда аналитиков «ШАРД» подробно изучила аналогичный случай, произошедший 05 июня 2022 года, когда этот же сайт подвергся атаке тех же хакеров, а размер затребованного выкупа за нераспространение ПД составил 0.5 BTC.
В тот раз выкуп был оплачен в течении двух дней c перечислением затребованной суммы на адрес bc1q00z5ufrc00zacgj9hxtc6ku6s2n50ptcxd6s4l. Тем не менее, персональные данные пользователей все равно были выложены в открытый доступ и, вероятно, разошлись по всем теневым ресурсам, собирающим подобные утечки.
Исследование адреса bc1q00z5ufrc00zacgj9hxtc6ku6s2n50ptcxd6s4l проводилось в 2-х направлениях: определение путей вывода средств, для последующей возможной идентификации злоумышленников, а также изучение путей пополнения адреса для выявления возможных адресов, связанных с другими кибератаками.
Адрес вымогателей bc1q00z5ufrc00zacgj9hxtc6ku6s2n50ptcxd6s4l был создан 24 мая 2022 года, имеет 8 входящих и 8 исходящих транзакций. Последняя его активность зафиксирована 27 декабря 2022 года, оборот адреса составляет 0.66737023 BTC, текущий баланс нулевой.
Изучение путей вывода средства позволило установить, что средства были выведены преимущественно на адреса, связанные с биржами Huobi, Binance, Bitfinex, Kraken, а также на обменные сервисы BitZlato и 24Paybank.
17 января 2023 года 1.634 BTC были направлены на адрес хранения bc1qj7wu645w7fmwlezvfvl9qccvf8p2x84yhthatg, где и находятся в настоящее время.
Из анализа пополнений адреса bc1q00z5ufrc00zacgj9hxtc6ku6s2n50ptcxd6s4l видно, что уже после публикации базы данных пользователей он дважды пополнялся 02 августа 2022 года. Изучение путей движения средств показывает, что пополнение было осуществлено с адреса биржи Binance, а также с адреса bc1qr3gpkna5ltkuvhm73l44ex3wu8emq2ch5h8vyy, судя по всему, также принадлежащего хакерам. Вывод средств с указанного адреса осуществлялся через обменники BitZlato и bitcoin24.com.ua.
В заключение можно сделать вывод, что полученные средства выводились в фиатную валюту через различные сервисы обмена, включая недавно закрытый властями США за отмывание денег BitZlato, а также украинский bitcoin24.com.ua и грузинский 24PayBank.
При незначительности оборотов (по сравнению с международными площадками) у этих обменников, не возникнет ли к ним в дальнейшем претензий со стороны правоохранительных органов из-за недоработки систем комплаенс, раз с их помощью могут быть обналичены средства, полученные в результате хакерской атаки?
Вероятно, данная хакерская атака, как и последующая, где выкупа не поступило, была совершена исключительно в коммерческих интересах. Так как данный случай – уже второй, полагаем, что Минстрою необходимо принять меры по недопущению подобных ситуаций в будущем.