В нескольких регионах России примерно в одно и то же время были задержаны полтора десятка человек. Все они — киберпреступная элита в масштабах даже не страны, а всего мира. Группировка REvil, членами которой они были, наделала столько шума, что о ней знают даже главы государств и поп-звезды, а не только простые люди. Прибыли киберпреступников были сопоставимы с заработками по-настоящему крупных компаний, которые они нацеленно атаковали пачками. «Лента.ру» вспомнила историю становления и внезапного краха главного объединения «русских хакеров».
Окончательный разгромНедоеденная еда в контейнере из фольги, пакет из известного московского суши-бара, простенькие татуировки чуть повыше скованных в наручники запястий на фоне мемичной футболки с волком. Все это — атрибуты классически проведенной спецоперации: коммунальщик в дверном глазке, открытая дверь, жильцы — в трусах, и уже на полу, поверх них — в штатском, но в масках, сотрудники ФСБ. Вокруг — очень много проводов, ноутбуков и прочей техники. В одном из открытых ящиков подарочный сертификат в «Рив Гош» на 800 рублей издевательски соседствует со стопкой пятитысячных купюр. Спецслужбы знают, что искать: оператор ФСБ фиксирует для истории баланс блокчейн-аккаунта одного из подозреваемых на экране компьютера — больше шести с половиной миллионов рублей.
Так выглядел окончательный разгром группировки REvil, которую на Западе считали ключевой в иерархии российского киберпреступного сообщества. Оперативники наведались по 25 адресам в Москве, Санкт-Петербурге, Московской, Ленинградской и Липецкой областях и задержали 14 человек. Улов киберпреступников сухо перечисляют в пресс-релизе ФСБ: «Свыше 426 миллионов рублей, в том числе в криптовалюте, 600 тысяч долларов США, 500 тысяч евро, а также компьютерная техника, криптокошельки, использовавшиеся для совершения преступлений, 20 автомобилей премиум-класса, приобретенные на денежные средства, полученные преступным путем».
Отдельные Telegram-каналы уже выкладывают ссылки на странички задержанных в социальных сетях. Аккаунты преимущественно почти пустые, давно не обновлявшиеся или вовсе закрытые от стороннего наблюдателя. В одном из них статус: «Боишься — не делай, делаешь — не бойся, а сделал — не сожалей».
Пресс-служба ФСБ немного слукавила, сообщив, что «организованное преступное сообщество прекратило существование» 14 января. Формально REvil распались еще осенью: драматично, теряя по дороге опытных и проверенных в деле «бойцов», отключая и подключая свою инфраструктуру. Другое дело, что и осенние события были частью спецоперации: полномасштабную охоту на группировку открыли еще летом 2021 года. В ней засветились не только российские спецслужбы, но и европейские, и американские.
Главная сила в русском даркнетеВесь путь с самых низов киберпреступного сообщества к статусу главной силы русского даркнета, а затем и к задержанию, занял у REvil всего три года. Модель работы группировки — популярный ныне RaaS (Ransomware-as-a-Service, вымогатель-как-услуга). Вредоносное ПО при этом распространяется не только самой группировкой, но и широкой сетью партнеров, стать частью которой совсем не сложно, если есть аккаунт на любом крупном теневом форуме.
«Распространители получают 60-75 процентов выкупа, который назначается на основании данных о годовом доходе жертвы. Расчеты ведутся в криптовалюте Monero (XMR). По словам оператора REvil, в 2020 году группировка заработала 100 миллионов долларов США», — говорится в отчете «Лаборатории Касперского».
В 2021 году аппетиты группировки резко возросли. Как минимум у двух взломанных компаний — Acer и Quanta Computer (один из ключевых партнеров Apple) — требовали по 50 миллионов долларов. Масштабность замыслов REvil подчеркивает то, что об этом сообществе не понаслышке знают Дональд Трамп, Леди Гага и Мадонна — все они стали жертвами атак группы.
Но ключевое направление деятельности — охота на крупные корпорации, которым точно есть что терять. Говоря простым языком, REvil внедряется в системы жертвы, заражает их вирусом, который шифрует и ворует все данные, после чего следует требование о выкупе. Не исключено, что многим из тех, кого шантажировали киберпреступники, пришлось его заплатить. Хакеры, как правило, не рекомендуют обращаться в полицию, но пострадавшие компании не делают этого по другой причине: на расследование попросту нет времени. Любой простой бизнеса оборачивается миллионными убытками и последующими имиджевыми проблемами (отток клиентов, потеря позиций на фондовых рынках). При этом официальное расследование может длиться месяцами, а дешифратора для вируса REvil до лета 2021 года не существовало.
«За успешным взломом следует повышение привилегий, сбор информации и распространение заражения. Затем операторы оценивают, извлекают и шифруют конфиденциальные файлы. Следующий этап — проведение переговоров с пострадавшей компанией. Если жертва отказывается платить, операторы REvil начинают выкладывать ее конфиденциальную информацию на onion-сайте Happy Blog (официальный ресурс группировки,— прим. "Ленты.ру"). В последнее время такая тактика — публиковать похищенные данные на специальных сайтах в качестве меры воздействия на жертву — распространена среди участников "охоты на крупную дичь"», — констатируют аналитики «Лаборатории Касперского».
По данным на весну 2021 года, REvil атаковали компании примерно из 20 отраслей. В лидерах — инженерно-производственный сектор и финансовые организации. При этом число нацеленных атак (не с помощью массовых рассылок, как действуют многие группировки поменьше, а именно таргетированных, против конкретной организации) постоянно росло. В первом квартале 2021 года таких было 773, а в третьем квартале 2020-го — больше тысячи. Ежедневно хакеры нападали на 30-40 крупных компаний.
Байден лично просил Путина помочьВ июне президент США Джо Байден передал президенту России Владимиру Путину список отраслей, на которые ни в коем случае не должны нападать «русские хакеры». Относительная пассивность российских спецслужб в отношении киберпреступности давно смущала Вашингтон, но не была проблемой, пока из-за этого не начали страдать сами американцы. Дело в том, что российские организации от отечественных хакеров не страдают из-за существующего в индустрии негласного соглашения: киберпреступники не атакуют предприятия из стран СНГ. Нарушается оно очень редко, да и то — небольшими группировками. А вот на компании из США в последние два года развернули настоящую охоту, за это время американцы подверглись десяткам крупных атак.
Самая значимая операция киберпреступников — атака на трубопровод США Colonial Pipeline. Ее осуществили взломщики из другой уже несуществующей группировки — DarkSide. Восточное побережье Америки (включая Нью-Йорк и Вашингтон) после этого практически осталось без бензина, а в четырех штатах объявили режим ЧП. Colonial Pipeline были вынуждены выплатить выкуп (как минимум, пять миллионов долларов). Американцы уже заявили, что один из арестованных 14 января россиян имел отношение к этому инциденту.
Другими атаками, проведенными уже исключительно силами REvil, стали нападение на IT-компанию Kaseya, поставляющую программное обеспечение в том числе американским госорганам (армии, флоту, ВВС и НАСА), и мясоперерабатывающего гиганта JBS (базируется в Бразилии, но проблема коснулась и США), который выплатил еще более значительный выкуп — 11 миллионов долларов.
Призыв Байдена о помощи спровоцировал российские спецслужбы на конкретные действия. Меньше чем через месяц вся инфраструктура REvil была отключена. В первый раз.
«Наши серверы скомпрометированы. Всем удачи, я отключаюсь»Все ресурсы REvil отключились в 8 утра 13 июля 2021 года. Как выяснилось позже, это был вынужденный шаг. В течение нескольких дней перед тем, как хакеры залегли на дно, они не могли связаться со своим рупором на даркнет-форумах (что-то вроде пресс-секретаря), известным под ником Unknown, который обладал полным доступом к инфраструктуре группировки.
Спустя два месяца стало известно о воскрешении REvil. Новый представитель хакеров 0_neday подтвердил, что временная приостановка деятельности была продиктована мерами предосторожности: «Мы бэкапнулись (создали резервные копии всех данных— прим. "Ленты.ру") и отключили все серверы. Думали, что его приняли (арестовали— прим. "Ленты.ру"). Подождали — он не объявился, и мы подняли все с бэкапов (восстановили работу серверов с последней сохраненной резервной копии— прим. "Ленты.ру")».
«Нет ничего удивительного в том, что сообщество, ответственное за громкие атаки на американскую инфраструктуру, предприняло меры предосторожности после разговора президентов США и России, — подчеркнул анонимный хакер. — Геополитические факторы всегда учитываются в бизнесе такого уровня, хотя я впервые сталкиваюсь с ситуацией, когда группировка вынуждена относительно неожиданно сворачивать свою деятельность», — сказал тогда в интервью «Ленте.ру» хакер, ранее сотрудничавший с REvil.
А всего через месяц REvil перестала существовать окончательно: хакеры сами стали жертвами хакерской атаки. Только провели ее не конкуренты в борьбе за позиции в даркнете, а ФБР, ряд секретных служб США и их партнеры из других стран. «Наши серверы скомпрометированы. Они меня ищут. Всем удачи, я отключаюсь», — закрыл историю группировки все тот же 0_neday.
Судьба Unknown и то, был ли он жертвой, предателем или двойным агентом, до сих пор остаются неизвестными, но это уже мало кого беспокоит. После того, как REvil объявили об уходе с рынка, на Западе признались, что спецоперация против хакеров под кодовым названием GoldDust, стартовала еще в начале 2021 года. В ней участвовали силовики и секретные службы из 17 стран (России в списке не оказалось), а также Европол, Евроюст и Интерпол. Задержания производились в Румынии, Южной Корее, Кувейте и на Украине. Тогда же спецслужбы называли конкретные имена тех, кого они подозревают в причастности к REvil.
Судя по всему, оперативники ФСБ вели в это время свою игру — внутри страны. «Мы ожидаем, что они (киберпреступники— прим. "Ленты.ру") предстанут перед правосудием не только за свои предыдущие преступления, но и ради предотвращения будущих», — сказала высокопоставленная представительница американских властей. Скорее всего, так и произойдет: несколько задержанных уже перешли в статус арестованных решением суда. Судьба русскоязычного преступного даркнета теперь представляется весьма туманной, а вакантное место главной группировки страны и, возможно, всего мира, занимать никто не спешит.
Комментирование разрешено только первые 24 часа.
0 +0−0 | Роман Молодой | 12:35:31 16/01/2022 | ||||||
| ||||||||
Да ты брэшешь! Давай сцылку. |
0 +0−0 | №-10494710 | 09:01:45 16/01/2022 | ||||||
| ||||||||
В интересах национальной безопасности ОША! Посоны вообще ребята... нафига их только из российского бюджета содержим не понимаю! |
0 +0−0 | Царь Чубатых руинцев | 08:07:03 16/01/2022 | ||||||
| ||||||||
всё цифровое можно украсть дистанционно, в том числе и деньги на счетах в банковской системе |
0 +0−0 | Alex L | 07:57:45 16/01/2022 | ||||||
| ||||||||
Как будто эта группировка единственные хакеры вымогатели |
0 +0−0 | Ivan Borzenkov | 06:12:32 16/01/2022 | ||||||
| ||||||||
групировка была слишком распределенная :) |
-1 +0−0 | Хрюн Моржов | 01:55:07 17/01/2022 |
Как дважды два понятно, что это была изначально "прикормленная" гебистами группировка, и теперь, когда они зарвались и стали опасны для кураторов, их пришлось сдать. И сдать очень оперативно, потому как Юпитер был в гневе и ярости.)) Невелика беда - других полно. Такое происходит постоянно, только без драмы и театрального заламывания рук. Агентов отсекают пачками, когда они становятся опасны или бесполезны. (Это называется "отсечением" на жаргоне, когда с агентом навсегда прекращают сотрудничество и связь, под каким-нибудь благовидным или не очень предлогом - говорят, что пока ему надо отдохнуть, что для его же безопасности нужно временно "уснуть", что пока его помощь не нужна и т.д. Этот человек будет ждать, когда его "разбудят" в будущем. Этого, конечно, никогда не случится, но кто же ему скажет?) |
-1 +0−0 | No Name | 22:36:15 16/01/2022 |
Надеюсь присядут пожизненно. Чтобы другим неповадно было. |
-1 +0−0 | Супер 8 | 18:41:54 16/01/2022 |
Вывод - никогда не жадничай. Гнобили бы мелкие американские компании, никому бы дела не было. Но им был нужен Пайплайн, а это уже национальная безопасность. Проще было сразу пулю в лоб пустить. |
-2 +0−0 | Царь Чубатых руинцев | 04:31:52 17/01/2022 |
Палец вверх за ФСБ, которая отработала в интересах национальной безопасности РФ. Палец вниз за воров и корупционеров которые, скрываются на Западе за спинами ФБР, ЦРУ и АНБ с украденными миллиардами в РФ. РФ требует вернуть 500 миллиардов только по судебным решениям против воров и корупционеров осевших в США и мелкобритании, но пока ни одна западная Gнида ни цента не вернула РФ. Помните уголовника и инноагента Навального? Это у которого офшоры на Кипре были и у которого своя партия была финансировал которую подельник, сбежавший в Лондон белоленточный вора, распильщик и олигарх Ашурукова, который с гражданской женой Александриной Маркво, в последнем эпизоде распилил 100 миллионов бюджетных (московских) рублей, шикарно до побега проживая в арендуемой квартире в Москве, которую они "снимали" за 1 000 000 в месяц!!! |
-2 +0−0 | Иван Сидоров | 11:51:41 16/01/2022 |
Не должны важные объекты инфраструктуры (типа ЛЭП, трубопроводов) управляться через интернет ! Для них должна быть своя, абсолютно обособленная сеть. Чтобы никакие хакеры физически не могли подключиться |
-2 +0−0 | Nio tru | 08:42:35 16/01/2022 | ||||||
| ||||||||
Написанно же не трогали пока те не трогали фирмы из СНГ |
-2 +0−0 | дыц дыц | 04:53:10 16/01/2022 |
посетили 25 адресов, арестовали 14 человек. 11 самых умных ушли или продолжат ломать пиндосов, но уже под крылом ФСБ? |
-3 +0−0 | Скотный Дворик | 14:41:48 16/01/2022 |
Бред сивой кобылы - спецслужбы могут только за лайки и репосты молодняк отлавливать и только! США требовали прикрыть эту группу под патронажем фсб более пяти лет, пока не поставили ультиматум на переговорах в Женеве и вуаля - доблестные защитники безопасности наловили детей, пытаясь выдать их за "хакерскую группировку"... Страна лжи и позора. |
-4 +0−0 | Dmitrii Vlasov | 17:15:17 16/01/2022 |
Федеральная Служба Безопасности только что предоставил ложную информацию во всех телеканалах и в газетах интернетах Российской Федерации , якобы ликвидированный главный центр группировки интернет хакеров , но на самом деле главный центр находится в Штатах и в Киеве а то что арестовал это просто филиалы если одно филиал уничтожит то появятся вновь другое новые! |
-8 +0−0 | Царь Чубатых руинцев | 08:13:37 16/01/2022 |
Палец вверх за ФСБ, которая отработала в интересах национальной безопасности РФ Палец вниз за воров и корупционеров которые, скрываются на Западе за спинами ФБР, ЦРУ и АНБ с украденными миллиардами в РФ РФ требует вернуть 500 миллиардов только по судебным решениям против воров и корупционеров осевших в США и мелкобритании, но пока ни одна западная Gнида ни цента не вернула РФ. |
-8 +0−0 | Царь Чубатых руинцев | 08:02:58 16/01/2022 |
КАК МУХИ НА ГОVНО... А. Правительство США рассовывает дыры в безопасности во всё ПО до которого может дотянуться, этим пользуются взломщики/преступники (я бы не называл их хакерами ибо чем ближе к преступлению тем меньше интеллекта и хака) Б. Правительство США официально поддерживает террористические группировки, начиная с вышедшей из под контроля Аль-кайды, заканчивая "правильными" (прозападными) ИГИЛ-овцами в сирии и укро-талибаном на Руине, которые насилуют славянских младенцев (как главарь карбата МВД Украины Торнадо), режут головы и вырезают сердца, поэтому не удивительно, что на США как мухи на гофно слетаются всякие отбросы со всего мира. |