ФСБ задержала хакеров из REvil по запросу спецслужб США

Группировка хакеров-вымогателей известна своими атаками на компании инженерно-производственного сектора. При задержании изъято почти полмиллиарда рублей, 600 тысяч долларов, полмиллиона евро и 20 автомобилей премиум-класса

ФСБ задержала членов знаменитой хакерской группировки REvil. По версии спецслужб, киберпреступники из России причастны к атакам на компании США на протяжении последних трех лет. Именно REvil вымогала деньги у крупнейшего в мире производителя мяса, компании JBS. Ей пришлось выплатить хакерам 11 млн долларов. Примечательно, что задержали вымогателей по запросу США. Что известно о REvil? И почему ее называют самой успешной хакерской группировкой?

На кадрах оперативной съемки ФСБ, оказавшихся в распоряжении РБК, — самая обычная квартира в типичном доме. Только вместе с компьютерной техникой по углам в ней раскиданы целые горы наличности в разной валюте. Операция спецслужб по поимке известной хакерской группировки REvil проводилась в Москве, Питере, Ленинградской и Липецкой областях. Задержано 14 человек, им предъявили обвинение в неправомерном обороте денежных средств. В общей сложности, ФСБ изъяла почти полмиллиарда рублей, в том числе в криптовалюте, 600 тысяч долларов, полмиллиона евро и даже 20 автомобилей премиум-класса.

По оценкам специалистов, только за 2020 год хакеры из REvil заработали 100 млн долларов. Всего они просуществовали три года. Как считают американские спецслужбы, именно группировка REvil причастна к беспрецедентной атаке на крупнейшего в мире производителя мяса, компанию JBS. Там они действовали по отработанной схеме — запустили вирус-вымогатель на серверы компании, который зашифровал содержимое дисков. За разблокировку хакеры потребовали выкуп в 11 млн долларов — JBS пришлось уступить — к тому времени уже неделю ее заводы простаивали. REvil были тогда на пике: с разницей в несколько месяцев были атаки на компании Acer и Quanta Computer, именно REvil положили серверы IT-компании Kaseya, которая работает в шести странах мира — от этих фирм хакеры требовали от 50 до 70 млн долларов выкупа.

Вымогатели были активны — в месяц проводили не менее 15 атак. В трети всех случаев жертвами становились фирмы инженерно-производственного сектора. У REvil был вполне понятный рецепт успеха, поясняет гендиректор Group-IB Дмитрий Волков:

Дмитрий Волков гендиректор Group-IB «Это одна из самых опасных групп, которые занимаются шифрованием. Основной целью у них были компании Соединенных Штатов. Работали они по так называемой партнерской программе. То есть — они уже разработали определенное программное обеспечение, у них была собственная платформа, которую они активно рекламировали на различных хакерских форумах. А основная задача была — привлечение так называемых партнеров, там, в принципе, можно было бы любому желающему зарегистрироваться, если знать — где, найти их объявления, найти контакты этих людей. Попробовать с ними связаться. Они же атаки напрямую не могли проводить, им необходимы были дополнительные руки, которые бы делали эту работу за них. Они подключались уже на каком-то финальном этапе. Собственно, [требовалось] шифровать данные, что приводило к тому, что компании останавливали свой бизнес, не могли дальше никак работать. И атакующие вымогали у них достаточно крупные суммы».

Процесс поимки хакеров из REvil можно проследить косвенно — по понятным причинам, все детали не раскрываются. За группировку серьезно взялись после атаки на IT-компанию Kaseya. Состоялся телефонный разговор Владимира Путина и Джо Байдена, на котором говорили о хакерских атаках. Байден призвал Россию принять меры и передал Путину список из 16 секторов, которые не должны попадать под киберудары. В ответ Путин напомнил, что больше всего кибератак в мире идет с территории США. Но процесс, похоже, пошел именно тогда, считает директор Центра Европейской безопасности Татьяна Пархалина:

Татьяна Пархалина директор Центра Европейской безопасности «Уже тогда Байден сказал, что они понимают, что на самом деле за этим стоит не российское государство, а какие-то иные структуры. При Трампе было по-другому — при Трампе обвинялось государство. Но то, что участвовали российские специальные структуры в ликвидации этой группировки, говорит о том, что сотрудничество на этом направлении идет. Я думаю, что все, что позитивное сейчас происходит на треке российско-американских отношений, оно может способствовать не напрямую, а косвенно будущим договоренностям».

В июле 2021 года хакеры из REvil вдруг свернули все операции, закрыли инфраструктуру, отключили сайты в даркнете. В сентябре они, правда, вернулись. Но статус инкогнито уже потеряли — немецкие СМИ писали, что на след группировки вышла их полиция. И даже назвали имя главаря хакерской группировки — некий Николай К., проживающий на юге России. На след Берлин вышел, отслеживая платежи в биткоинах. Сейчас же ФСБ задержала членов группы и не скрывает, что сделала это после обращения из США. Похоже, хотя бы здесь у Москвы и Вашингтона наметились точки соприкосновения.