Аресты представителей REvil, которые охватили 14 городов, были единогласно названы крупнейшей операцией российских властей по противодействию программам-вымогателям. ФСБ и МВД отрапортовали о следственных действиях в Москве, Петербурге, Московской, Ленинградской и Липецкой областях. Обыски были проведены по 25 адресам у 14 членов группировки. Силовики изъяли более 426 млн рублей, в том числе в криптовалюте, а также $600 тыс., 500 тыс. евро, 20 автомобилей премиум-класса вместе с компьютерной техникой.
Всем, кто попал в фокус внимания правоохранителей, инкриминируют нехарактерную статью: неправомерный оборот средств платежей в составе организованной группы. Это значит, что задержанных будут преследовать за создание, приобретение и сбыт фальшивых платежных карт, сопутствующей документации и средств приема, выдачи, перевода денежных средств. Нельзя не заметить, что за незаконное проникновение в компьютерную инфраструктуру в РФ преследуют по другим статьям. Например, таким как создание, использование и распространение вредоносного ПО.
В ФСБ утверждают, что установили полный состав участников REvil. По оценкам российских спецслужб, после арестов хакерская группировка, которую можно считать одной из наиболее «прибыльных» в преступном мире, попросту «прекратила существование», а ее информационная инфраструктура была «нейтрализована». Однако официальная формулировка подозрений внушает опасения, что арестованные были только номиналами — низшим звеном преступной сети, которое, как правило, осуществляет переводы денежных средств.
Импульс для следственных мероприятий дали российско-американские переговоры. После встречи между президентами Владимиром Путиным и Джо Байденом в Женеве летом минувшего года страны интенсифицировали контакты по теме борьбы с киберпреступностью. По словам некоторых американских чиновников, Вашингтон передал по этой линии Москве информацию о REvil.
Сейчас официальные лица США выражают надежду на то, что Россией будут предприняты «юридические действия», которые поставят точку в истории вокруг регулярных атак. Аресты были восприняты как позитивный политический сигнал.
Удар по хакерским кошелькам
В ноябре ФБР пришлось четко заявить о своих намерениях. Ведомство объявило в розыск предполагаемого участника REvil россиянина Евгения Полянина (28 лет), а Госдепартамент США пообещал до $10 млн за любые данные, которые могли бы помочь в идентификации высшего звена REvil, и до $5 млн за сведения, которые приведут к задержанию участников. В конце сентября администрация Байдена сделала Кремлю щедрый подарок, депортировав домой известного российского хакера Александра Буркова, и, возможно, ждала ответных действий.
Группировка REvil, также известная как Sodinokibi, считается одной из наиболее крупных и наиболее активных в мире. Подсчеты американских спецслужб свидетельствуют, что кибермошенники совершали как минимум 15 атак ежемесячно. В США, инфраструктура которых была одной из наиболее частых мишеней для кибернападений, испытывали уверенность, что преступное сообщество может быть напрямую связано с российским официозом. Тем не менее, в Москве традиционно отрицали причастность к организации деятельности мошенников.
Инструментарий REvil не представлял из себя ничего неординарного: группировка совершала свои акции с помощью программ, шифрующих данные, а после внедрения требовала выкуп за «расшифровку». Жертвами REvil стали один из основных партнеров Apple — компания Quanta Computer, глобальный производитель мяса JBS Foods, IT-гигант Acer и компания Kaseya, которая управляет компьютерными сетями тысяч мелких компаний без собственных ИТ-департаментов. Выручка преступной сети за 2020 год при этом, по ее собственным оценкам, достигла $100 млн.
Как отметил глава Центра мониторинга и реагирования на инциденты ИБ Jet CSIRT компании «Инфосистемы Джет» Алексей Мальнев, члены REvil очень «внимательно подходили к выбору жертв». Так, основной удар, как правило, приходился на крупные компании, которые были «в состоянии заплатить выкуп в несколько десятков или сотен миллионов долларов». По оценкам российской компании Group IB, именно активность этой хакерской группировки «стала одной из основных причин впечатляющего роста рынка программ-вымогателей» во всем мире.
Сигнал администрации Байдена
Аресты ознаменовали редкий позитивный момент в американо-российских отношениях на фоне тревожной концентрации российских сил вблизи украинских границ и дискуссии в Белом доме о необходимости расширения санкционного инструментария в отношении Кремля.
Как пояснил специалист в сфере кибербезопасности Дэвид Варшавски, некоторые серьезные изменения дали о себе знать после того, как Байден передал в ходе очных переговоров с Путиным список из 16 отраслей, которые ни при каких обстоятельствах нельзя атаковать хакерам. После этого, по словам Варшавски, группировки начали смещать свою активность в другие регионы, такие как Латиноамериканский или Азиатско-Тихоокеанский. Нынешние аресты эксперт не считает совпадением: это может быть попыткой Кремля заявить о существовании позитивной повестки.
«Время выбрано не случайно», — согласен с этими предположениями Дмитрий Альперович, ведущий эксперт по российской киберактивности в Вашингтоне. По его словам, руководство в Москве посредством следственных действий впервые открыто признало, что «крупные преступники-вымогатели проживают в России». А это можно считать определенным прецедентом, который, впрочем, будет налагать на Кремль определенные обязательства и ответственность в случае продолжения кампаний по кибератакам.
Тем не менее, несмотря на позитивный характер сигналов, у экспертов есть большие опасения, что аресты были призваны продемонстрировать американским официальным лицам в том числе следующее: атаки российских хакеров на стратегическую инфраструктуру США могут продолжиться, если Вашингтон и его европейские союзники пойдут по пути углубления санкций против Кремля. Предположения о том, что на свободе по-прежнему остаются некоторые представители высшего звена REvil, только придают выразительности этим страхам.
