В нескольких регионах России примерно в одно и то же время были задержаны полтора десятка человек. Все они — киберпреступная элита в масштабах даже не страны, а всего мира. Группировка REvil, членами которой они были, наделала столько шума, что о ней знают даже главы государств и поп-звезды, а не только простые люди. Прибыли киберпреступников были сопоставимы с заработками по-настоящему крупных компаний, которые они нацеленно атаковали пачками. «Лента.ру» вспомнила историю становления и внезапного краха главного объединения «русских хакеров».
Окончательный разгром
Недоеденная еда в контейнере из фольги, пакет из известного московского суши-бара, простенькие татуировки чуть повыше скованных в наручники запястий на фоне мемичной футболки с волком. Все это — атрибуты классически проведенной спецоперации: коммунальщик в дверном глазке, открытая дверь, жильцы — в трусах, и уже на полу, поверх них — в штатском, но в масках, сотрудники ФСБ. Вокруг — очень много проводов, ноутбуков и прочей техники. В одном из открытых ящиков подарочный сертификат в «Рив Гош» на 800 рублей издевательски соседствует со стопкой пятитысячных купюр. Спецслужбы знают, что искать: оператор ФСБ фиксирует для истории баланс блокчейн-аккаунта одного из подозреваемых на экране компьютера — больше шести с половиной миллионов рублей.
нашли оперативники у 14 задержанных членов кибергруппировки REvil
Так выглядел окончательный разгром группировки REvil, которую на Западе считали ключевой в иерархии российского киберпреступного сообщества. Оперативники наведались по 25 адресам в Москве, Санкт-Петербурге, Московской, Ленинградской и Липецкой областях и задержали 14 человек. Улов киберпреступников сухо перечисляют в пресс-релизе ФСБ: «Свыше 426 миллионов рублей, в том числе в криптовалюте, 600 тысяч долларов США, 500 тысяч евро, а также компьютерная техника, криптокошельки, использовавшиеся для совершения преступлений, 20 автомобилей премиум-класса, приобретенные на денежные средства, полученные преступным путем».
Отдельные Telegram-каналы уже выкладывают ссылки на странички задержанных в социальных сетях. Аккаунты преимущественно почти пустые, давно не обновлявшиеся или вовсе закрытые от стороннего наблюдателя. В одном из них статус: «Боишься — не делай, делаешь — не бойся, а сделал — не сожалей».
Пресс-служба ФСБ немного слукавила, сообщив, что «организованное преступное сообщество прекратило существование» 14 января. Формально REvil распались еще осенью: драматично, теряя по дороге опытных и проверенных в деле «бойцов», отключая и подключая свою инфраструктуру. Другое дело, что и осенние события были частью спецоперации: полномасштабную охоту на группировку открыли еще летом 2021 года. В ней засветились не только российские спецслужбы, но и европейские, и американские.
Главная сила в русском даркнете
Весь путь с самых низов киберпреступного сообщества к статусу главной силы русского даркнета, а затем и к задержанию, занял у REvil всего три года. Модель работы группировки — популярный ныне RaaS (Ransomware-as-a-Service, вымогатель-как-услуга). Вредоносное ПО при этом распространяется не только самой группировкой, но и широкой сетью партнеров, стать частью которой совсем не сложно, если есть аккаунт на любом крупном теневом форуме.
«Распространители получают 60-75 процентов выкупа, который назначается на основании данных о годовом доходе жертвы. Расчеты ведутся в криптовалюте Monero (XMR). По словам оператора REvil, в 2020 году группировка заработала 100 миллионов долларов США», — говорится в отчете «Лаборатории Касперского».
заработали хакеры из REvil в 2020 году
В 2021 году аппетиты группировки резко возросли. Как минимум у двух взломанных компаний — Acer и Quanta Computer (один из ключевых партнеров Apple) — требовали по 50 миллионов долларов. Масштабность замыслов REvil подчеркивает то, что об этом сообществе не понаслышке знают Дональд Трамп, Леди Гага и Мадонна — все они стали жертвами атак группы.
Но ключевое направление деятельности — охота на крупные корпорации, которым точно есть что терять. Говоря простым языком, REvil внедряется в системы жертвы, заражает их вирусом, который шифрует и ворует все данные, после чего следует требование о выкупе. Не исключено, что многим из тех, кого шантажировали киберпреступники, пришлось его заплатить. Хакеры, как правило, не рекомендуют обращаться в полицию, но пострадавшие компании не делают этого по другой причине: на расследование попросту нет времени. Любой простой бизнеса оборачивается миллионными убытками и последующими имиджевыми проблемами (отток клиентов, потеря позиций на фондовых рынках). При этом официальное расследование может длиться месяцами, а дешифратора для вируса REvil до лета 2021 года не существовало.
«За успешным взломом следует повышение привилегий, сбор информации и распространение заражения. Затем операторы оценивают, извлекают и шифруют конфиденциальные файлы. Следующий этап — проведение переговоров с пострадавшей компанией. Если жертва отказывается платить, операторы REvil начинают выкладывать ее конфиденциальную информацию на onion-сайте Happy Blog (официальный ресурс группировки, — прим. "Ленты.ру"). В последнее время такая тактика — публиковать похищенные данные на специальных сайтах в качестве меры воздействия на жертву — распространена среди участников "охоты на крупную дичь"», — констатируют аналитики «Лаборатории Касперского».
По данным на весну 2021 года, REvil атаковали компании примерно из 20 отраслей. В лидерах — инженерно-производственный сектор и финансовые организации. При этом число нацеленных атак (не с помощью массовых рассылок, как действуют многие группировки поменьше, а именно таргетированных, против конкретной организации) постоянно росло. В первом квартале 2021 года таких было 773, а в третьем квартале 2020-го — больше тысячи. Ежедневно хакеры нападали на 30-40 крупных компаний.
Байден лично просил Путина помочь
В июне президент США Джо Байден передал президенту России Владимиру Путину список отраслей, на которые ни в коем случае не должны нападать «русские хакеры». Относительная пассивность российских спецслужб в отношении киберпреступности давно смущала Вашингтон, но не была проблемой, пока из-за этого не начали страдать сами американцы. Дело в том, что российские организации от отечественных хакеров не страдают из-за существующего в индустрии негласного соглашения: киберпреступники не атакуют предприятия из стран СНГ. Нарушается оно очень редко, да и то — небольшими группировками. А вот на компании из США в последние два года развернули настоящую охоту, за это время американцы подверглись десяткам крупных атак.
Самая значимая операция киберпреступников — атака на трубопровод США Colonial Pipeline. Ее осуществили взломщики из другой уже несуществующей группировки — DarkSide. Восточное побережье Америки (включая Нью-Йорк и Вашингтон) после этого практически осталось без бензина, а в четырех штатах объявили режим ЧП. Colonial Pipeline были вынуждены выплатить выкуп (как минимум, пять миллионов долларов). Американцы уже заявили, что один из арестованных 14 января россиян имел отношение к этому инциденту.
Другими атаками, проведенными уже исключительно силами REvil, стали нападение на IT-компанию Kaseya, поставляющую программное обеспечение в том числе американским госорганам (армии, флоту, ВВС и НАСА), и мясоперерабатывающего гиганта JBS (базируется в Бразилии, но проблема коснулась и США), который выплатил еще более значительный выкуп — 11 миллионов долларов.
Призыв Байдена о помощи спровоцировал российские спецслужбы на конкретные действия. Меньше чем через месяц вся инфраструктура REvil была отключена. В первый раз.
«Наши серверы скомпрометированы. Всем удачи, я отключаюсь»
Все ресурсы REvil отключились в 8 утра 13 июля 2021 года. Как выяснилось позже, это был вынужденный шаг. В течение нескольких дней перед тем, как хакеры залегли на дно, они не могли связаться со своим рупором на даркнет-форумах (что-то вроде пресс-секретаря), известным под ником Unknown, который обладал полным доступом к инфраструктуре группировки.
Спустя два месяца стало известно о воскрешении REvil. Новый представитель хакеров 0_neday подтвердил, что временная приостановка деятельности была продиктована мерами предосторожности: «Мы бэкапнулись (создали резервные копии всех данных — прим. "Ленты.ру") и отключили все серверы. Думали, что его приняли (арестовали — прим. "Ленты.ру"). Подождали — он не объявился, и мы подняли все с бэкапов (восстановили работу серверов с последней сохраненной резервной копии — прим. "Ленты.ру")».
«Нет ничего удивительного в том, что сообщество, ответственное за громкие атаки на американскую инфраструктуру, предприняло меры предосторожности после разговора президентов США и России, — подчеркнул анонимный хакер. — Геополитические факторы всегда учитываются в бизнесе такого уровня, хотя я впервые сталкиваюсь с ситуацией, когда группировка вынуждена относительно неожиданно сворачивать свою деятельность», — сказал тогда в интервью «Ленте.ру» хакер, ранее сотрудничавший с REvil.
Длинная рука закона может дотянуться куда дальше, чем они думают, и мы можем помешать тем, кто прячется в таких местах, как Россия
А всего через месяц REvil перестала существовать окончательно: хакеры сами стали жертвами хакерской атаки. Только провели ее не конкуренты в борьбе за позиции в даркнете, а ФБР, ряд секретных служб США и их партнеры из других стран. «Наши серверы скомпрометированы. Они меня ищут. Всем удачи, я отключаюсь», — закрыл историю группировки все тот же 0_neday.
Судьба Unknown и то, был ли он жертвой, предателем или двойным агентом, до сих пор остаются неизвестными, но это уже мало кого беспокоит. После того, как REvil объявили об уходе с рынка, на Западе признались, что спецоперация против хакеров под кодовым названием GoldDust, стартовала еще в начале 2021 года. В ней участвовали силовики и секретные службы из 17 стран (России в списке не оказалось), а также Европол, Евроюст и Интерпол. Задержания производились в Румынии, Южной Корее, Кувейте и на Украине. Тогда же спецслужбы называли конкретные имена тех, кого они подозревают в причастности к REvil.
Судя по всему, оперативники ФСБ вели в это время свою игру — внутри страны. «Мы ожидаем, что они (киберпреступники — прим. "Ленты.ру") предстанут перед правосудием не только за свои предыдущие преступления, но и ради предотвращения будущих», — сказала высокопоставленная представительница американских властей. Скорее всего, так и произойдет: несколько задержанных уже перешли в статус арестованных решением суда. Судьба русскоязычного преступного даркнета теперь представляется весьма туманной, а вакантное место главной группировки страны и, возможно, всего мира, занимать никто не спешит.