В минувшие выходные хакер, который своей атакой на агентство общественного транспорта Сан-Франциско нарушил работу легкого метро Muni, сам стал жертвой кибернападения. По словам эксперта в области безопасности Брайана Кребса, в результате взлома была предана огласке подробная информация о жертвах киберпреступника, а также сведения, которые могут указывать на местонахождение хакера.
28 ноября на связь с Кребсом вышел человек, который заявил, что он смог осуществить взлом почтового ящика cryptom27@yandex.com. Этот адрес указан в требовании о выкупе за разблокировку систем агентства общественного транспорта Сан-Франциско. Как утверждает исследователь, который пожелал сохранить анонимность, он взломал аккаунт хакера, подобрав ответ на секретный вопрос и переустановив пароль. Оказалось, что cryptom27@yandex.com был связан с резервным аккаунтом cryptom2016@yandex.com, который имел аналогичный секретный вопрос и ответ.
Исследователь выяснил, что хакер в целях безопасности периодически меняет адрес биткоин-кошельков. Согласно результатам анализа свыше десятка биткоин-кошельков, с августа хакер получил от жертв в общей сложности 140000 долларов.
Кроме того, хакер арендовал серверы у как минимум двух хостинг-провайдеров. Злоумышленник применял один из серверов для поиска уязвимых систем и их взлома. Сервер управлялся с территории Ирана.
В основном киберпреступник атаковал американские производственные и строительные компании. Чаще всего жертвы платили выкуп в полном объеме.