В России разгромили хакерскую группировку REvil. США приветствуют подробности

В пятницу, 14 января, ФСБ сообщила о пресечении деятельности преступного сообщества, члены которого с помощью вредоносных программ похищали деньги со счетов иностранных граждан и компаний. Речь идет о группировке REvil.

РБК сообщает, что следственные действия прошли по 25 адресам в Москве, Санкт-Петербурге, Московской, Ленинградской и Липецкой областях; были установлены 14 членов группы, заявили в ФСБ. В ходе обысков были изъяты более 426 млн рублей, в том числе в криптовалюте, $600 тысяч, €500 тысяч, 20 автомобилей премиум-класса, а также компьютерная техника и криптокошельки, которые использовались для совершения преступлений.

«Основанием для разыскных мероприятий послужило обращение компетентных органов США», - уточнили в ФСБ. Вашингтон сообщил российским правоохранительным органам о лидере преступного сообщества и посягательствах на информационные ресурсы «зарубежных высокотехнологичных компаний», в том числе путем «шифрования информации и вымогательства денежных средств за ее дешифрование».

«Группа REvil являлась одним из старейших и самых агрессивных игроков на рынке программ-вымогателей» и ее деятельность «стала одной из основных причин впечатляющего роста рынка программ-вымогателей», пояснили в Group IB. Хотя REvil фактически ликвидирована, у них остались продолжатели и партнеры, использующие их тактики и техники, подчеркнули в компании.

Оператор REvil утверждал, что выручка группы за 2020 год составила $100 млн. Среди жертв REvil были одни из ключевых партнеров Apple – компания Quanta Computer, крупнейший производитель мяса в мире JBS Foods, ИT-гигант Acer и поставщик MSP-решений Kaseya, управляющий компьютерными сетями тысяч мелких компаний без собственных ИТ-департаментов.

Тема кибератак хакеров из России поднималась на переговорах президентов России и США начиная с лета прошлого года. Джо Байден потребовал от Владимира Путина пресечь деятельность вымогателей и выразил уверенность, что власти России знают, кто стоит за атаками. В июле прошлого года, через несколько дней после очередного такого разговора, было обнаружено полное отключение инфраструктуры группировки REvil. Стали недоступны также блог и «техподдержка» REvil, а на теневых хакерских форумах заблокировали аккаунт представителя REvil. Все еще неизвестно, что к этому привело, но Reuters писал, что спецслужбы США могли взломать и взять под контроль сервера группы, завладев универсальным ключом дешифрования, который позволял зараженным через Kaseya компаниям восстанавливать свои файлы без выкупа. После этого, по информации агентства, REvil попыталась восстановить свою инфраструктуру из резервных копий, перезапустив некоторые внутренние системы и предполагая, что они не скомпрометированы. В действительности они уже могли находиться под контролем властей.

В ноябре ФБР объявило в розыск 28-летнего россиянина Евгения Полянина, которого считает причастным к деятельности REvil. Госдеп США предложил вознаграждение до $10 млн за любую информацию, которая поможет установить лидеров и участников группировки.

К вечеру 14 января стали известны имена двоих задержанных в Москве – Роман Муромский и Андрей Бессонов. Оба фигуранта – подозреваемые по ч. 2 ст. 187 УК России (неправомерный оборот средств платежей в составе организованной группы), по этому составу преследуют за изготовление, приобретение, сбыт поддельных платежных карт, распоряжений о переводе денег, других документов и средств приема, выдачи, перевода денежных средств. Подозреваемым грозит до семи лет колонии.

В плане отношений России и США разгром REvil может быть незначительным на первый взгляд событием, которое приведет к значительным последствиям, сказал РБК программный директор клуба «Валдай», доцент МГИМО Иван Тимофеев: «С политической точки зрения это хорошо, потому что показывает, что договоренности по киберпроблематике, которые были достигнуты Байденом и Путиным в Женеве, работают. Как минимум с российской стороны есть стремление обезвреживать группировки, которые наносят ущерб, в том числе и США...»

Представитель администрации США высокого ранга сообщила, что один из задержанных в РФ хакеров группировки REvil был причастен к взлому трубопроводной компании Colonial Pipeline, находящейся на американской территории. Об этом пишет ТАСС. 

В США также заявили, что одобряют меры, предпринимаемые руководством РФ в рамках борьбы с группировками хакеров на собственной территории. «Мы приветствуем сообщения о том, что Кремль предпринимает шаги в правоохранительной сфере для борьбы с вредоносной деятельностью, исходящей с… территории (России – ред.)», - заявил представитель американской администрации.