В нескольких регионах России примерно в одно и то же время были задержаны полтора десятка человек. Все они — киберпреступная элита в масштабах даже не страны, а всего мира. Группировка REvil, членами которой они были, наделала столько шума, что о ней знают даже главы государств и поп-звезды, а не только простые люди. Прибыли киберпреступников были сопоставимы с заработками по-настоящему крупных компаний, которые они нацеленно атаковали пачками. «Лента. Ру» вспомнила историю становления и внезапного краха главного объединения «русских хакеров».
Окончательный разгром
Недоеденная еда в контейнере из фольги, пакет из известного московского суши-бара, простенькие татуировки чуть повыше скованных в наручники запястий на фоне мемичной футболки с волком. Все это — атрибуты классически проведенной спецоперации: коммунальщик в дверном глазке, открытая дверь, жильцы — в трусах, и уже на полу, поверх них — в штатском, но в масках, сотрудники ФСБ. Вокруг — очень много проводов, ноутбуков и прочей техники. В одном из открытых ящиков подарочный сертификат в «Рив Гош» на 800 рублей издевательски соседствует со стопкой пятитысячных купюр. Спецслужбы знают, что искать: оператор ФСБ фиксирует для истории баланс блокчейн-аккаунта одного из подозреваемых на экране компьютера — больше шести с половиной миллионов рублей.
Так выглядел окончательный разгром группировки REvil, которую на Западе считали ключевой в иерархии российского киберпреступного сообщества. Оперативники наведались по 25 адресам в Москве, Санкт-Петербурге, Московской, Ленинградской и Липецкой областях и задержали 14 человек. Улов киберпреступников сухо перечисляют в пресс-релизе ФСБ: «Свыше 426 миллионов рублей, в том числе в криптовалюте, 600 тысяч долларов США, 500 тысяч евро, а также компьютерная техника, криптокошельки, использовавшиеся для совершения преступлений, 20 автомобилей премиум-класса, приобретенные на денежные средства, полученные преступным путем».
Отдельные Telegram-каналы уже выкладывают ссылки на странички задержанных в социальных сетях. Аккаунты преимущественно почти пустые, давно не обновлявшиеся или вовсе закрытые от стороннего наблюдателя. В одном из них статус: «Боишься — не делай, делаешь — не бойся, а сделал — не сожалей».
Мастерство цитирования пацанских пабликов хакеры из REvil будут оттачивать, скорее всего, уже на зоне. Фото: ЦОС ФСБ РФ
Пресс-служба ФСБ немного слукавила, сообщив, что «организованное преступное сообщество прекратило существование» 14 января. Формально REvil распались еще осенью: драматично, теряя по дороге опытных и проверенных в деле «бойцов», отключая и подключая свою инфраструктуру. Другое дело, что и осенние события были частью спецоперации: полномасштабную охоту на группировку открыли еще летом 2021 года. В ней засветились не только российские спецслужбы, но и европейские, и американские.
Главная сила в русском даркнете
Весь путь с самых низов киберпреступного сообщества к статусу главной силы русского даркнета, а затем и к задержанию, занял у REvil всего три года. Модель работы группировки — популярный ныне RaaS (Ransomware-as-a-Service, вымогатель-как-услуга). Вредоносное ПО при этом распространяется не только самой группировкой, но и широкой сетью партнеров, стать частью которой совсем не сложно, если есть аккаунт на любом крупном теневом форуме.
«Распространители получают 60-75 процентов выкупа, который назначается на основании данных о годовом доходе жертвы. Расчеты ведутся в криптовалюте Monero (XMR). По словам оператора REvil, в 2020 году группировка заработала 100 миллионов долларов США», — говорится в отчете «Лаборатории Касперского».
В 2021 году аппетиты группировки резко возросли. Как минимум у двух взломанных компаний — Acer и Quanta Computer (один из ключевых партнеров Apple) — требовали по 50 миллионов долларов. Масштабность замыслов REvil подчеркивает то, что об этом сообществе не понаслышке знают Дональд Трамп, Леди Гага и Мадонна — все они стали жертвами атак группы.
Но ключевое направление деятельности — охота на крупные корпорации, которым точно есть что терять. Говоря простым языком, REvil внедряется в системы жертвы, заражает их вирусом, который шифрует и ворует все данные, после чего следует требование о выкупе. Не исключено, что многим из тех, кого шантажировали киберпреступники, пришлось его заплатить. Хакеры, как правило, не рекомендуют обращаться в полицию, но пострадавшие компании не делают этого по другой причине: на расследование попросту нет времени. Любой простой бизнеса оборачивается миллионными убытками и последующими имиджевыми проблемами (отток клиентов, потеря позиций на фондовых рынках). При этом официальное расследование может длиться месяцами, а дешифратора для вируса REvil до лета 2021 года не существовало.
«За успешным взломом следует повышение привилегий, сбор информации и распространение заражения. Затем операторы оценивают, извлекают и шифруют конфиденциальные файлы. Следующий этап — проведение переговоров с пострадавшей компанией. Если жертва отказывается платить, операторы REvil начинают выкладывать ее конфиденциальную информацию на onion-сайте Happy Blog (официальный ресурс группировки, — прим. "Ленты. Ру"). В последнее время такая тактика — публиковать похищенные данные на специальных сайтах в качестве меры воздействия на жертву — распространена среди участников "охоты на крупную дичь"», — констатируют аналитики «Лаборатории Касперского».
Такими пачками наличности могут похвастать далеко не все российские олигархи. Но у хакеров нет выбора: хранить деньги налом — гораздо неприметнее.. Фото: ЦОС ФСБ РФ
По данным на весну 2021 года, REvil атаковали компании примерно из 20 отраслей. В лидерах — инженерно-производственный сектор и финансовые организации. При этом число нацеленных атак (не с помощью массовых рассылок, как действуют многие группировки поменьше, а именно таргетированных, против конкретной организации) постоянно росло. В первом квартале 2021 года таких было 773, а в третьем квартале 2020-го — больше тысячи. Ежедневно хакеры нападали на 30-40 крупных компаний.
Байден лично просил Путина помочь
В июне президент США Джо Байден передал президенту России Владимиру Путину список отраслей, на которые ни в коем случае не должны нападать «русские хакеры». Относительная пассивность российских спецслужб в отношении киберпреступности давно смущала Вашингтон, но не была проблемой, пока из-за этого не начали страдать сами американцы. Дело в том, что российские организации от отечественных хакеров не страдают из-за существующего в индустрии негласного соглашения: киберпреступники не атакуют предприятия из стран СНГ. Нарушается оно очень редко, да и то — небольшими группировками. А вот на компании из США в последние два года развернули настоящую охоту, за это время американцы подверглись десяткам крупных атак.
Самая значимая операция киберпреступников — атака на трубопровод США Colonial Pipeline. Ее осуществили взломщики из другой уже несуществующей группировки — DarkSide. Восточное побережье Америки (включая Нью-Йорк и Вашингтон) после этого практически осталось без бензина, а в четырех штатах объявили режим ЧП. Colonial Pipeline были вынуждены выплатить выкуп (как минимум, пять миллионов долларов). Американцы уже заявили, что один из арестованных 14 января россиян имел отношение к этому инциденту.
