«Банды, использующие зловредное программное обеспечение Ransomware, вымогают миллиарды, шифруя компьютеры. Их редко удается поймать. Но следователи Управления уголовной полиции Германии смогли установить личность одного предполагаемого преступника», — сообщает немецкое издание Die Zeit.
«На видео видно белую яхту в голубом Средиземном море. На палубах лежат молодые люди, смеются, пьют, прыгают в воду. Дорогое удовольствие, ведь желающим арендовать яхту придется заплатить 1,3 тыс. евро в день, — повествует журналист Кай Бирманн. — Екатерина К.* поделилась этим видео в социальных сетях. Она часто публикует такие приветы из отпуска. Иногда, как в этом видео, из Анталии в Турции, иногда из пятизвездочного отеля в Дубае, с Крымского полуострова или с Мальдив».
«На видео и фотографиях часто можно увидеть ее мужа Николая К. Ему нравятся футболки Gucci, дорогие спорткары BMW и большие солнцезащитные очки. А на запястье он уже несколько месяцев носит Vanguard Encrypto — роскошные часы, на циферблате которых выгравирован код биткоин-адреса. Стоимость таких часов достигает 70 тыс. евро», — говорится в статье.
«Согласно расследованию телерадиокомпании Bayerischer Rundfunk и Die Zeit, Николай К. является участником группы киберпреступников, которые преступным путем добывают множество миллионов евро, и их почти невозможно поймать. Николай К. — один из крайне редких случаев, когда личность преступника, стоящего за почти идеальным преступлением с использованием Ransomware, удалось установить».
«Николай К., уверены следователи из Управления уголовной полиции земли Баден-Вюртемберг, входит в основную группу преступников, управляющих бандой REvil, использующей вымогательское ПО. С помощью него эта группировка и ее сообщники уже атаковали компании и учреждения по всему западному миру и собрали огромные суммы денег».
«Преступники внедряют свои программы в чужие компьютерные сети, копируют все данные, а затем шифруют систему жертвы. Для пострадавших их собственные компьютеры становятся бесполезными. Городские администрации вынуждены прекращать свою работу, врачи и юридические фирмы разоряются, заводы стоят, больницы не могут получить доступ к данным своих пациентов. Те, кто платит шантажистам, получают ключ к своим данным — если повезет. Конфиденциальная информация тех, кто не платит выкуп, становится публичной, а взломанный доступ к сетям продают другим преступникам», — поясняет Die Zeit.
«Существует несколько типов таких программ-вымогателей. Группировка REvil, также известная как Sodinokibi, является одной из самых злостных кибербанд и нанесла по всему миру ущерб, исчисляющийся миллиардами долларов. Федеральное управление по информационной безопасности Германии (BSI) относит REvil к числу наиболее опасных группировок в этой области».
«Неизвестно, от кого берет начало оригинальный код, используемый REvil, но существует основная группа, которая предлагает код всем, кто хочет использовать его для атак на жертв. Разработчики создали прибыльную модель проката: преступники могут обратиться к группировке и использовать программное обеспечение за вознаграждение, выплачиваемое в криптовалюте. (…) И Николай К., очевидно, один из тех, кто получают эту плату за прокат ПО».
«Журналисты BR и Die Zeit провели несколько месяцев, отслеживая соответствующие цифровые следы в социальных сетях, анонимных Telegram-каналах и в мире криптовалют. Так, они смогли отследить, что по крайней мере шесть раз биткоины переводились со счетов, связанных с криминальными деяниями, на адрес, который с высокой степенью вероятности принадлежит Николаю К.».
«Любой, кто загуглит имя, которое он использует в социальных сетях, найдет почтовый адрес, на который также зарегистрированы разные сайты. К ним, в свою очередь, привязаны несколько российских номеров мобильных телефонов. И один из этих номеров ведет к аккаунту в Telegram, в котором был опубликован соответствующий биткоин-адрес. На него были переведены биткоины на сумму более 400 тыс. евро. Вполне вероятно, что они были получены в результате шантажа, говорят эксперты компании, которая специализируется на анализе платежей в биткоинах, а также помогает следователям в проведении таких анализов».
«Именно такие переводы биткоинов и вывели Управление уголовной полиции земли Баден-Вюртемберг на след Николая К. Сотрудники управления расследуют атаку на Государственный театр в Штутгарте в 2019 году, в ходе которой использовалась более ранняя версия REvil под названием GandCrab. В течение нескольких дней компьютеры театра не работали, а зрителям продавались билеты, написанные от руки. В конечном итоге театр заплатил требуемый выкуп, 15 тыс. евро были переведены в криптовалюте. Сотрудники Управления уголовной полиции пошли по следу денег. Это и привело их к Николаю К. (…) Следователи и эксперты по информационной безопасности предполагают, что за REvil и GandCrab стоят одни и те же преступники», — отмечает издание.
«К. живет со своей женой в южном российском городе, в доме с бассейном. У ворот стоит BMW мощностью более 600 лошадиных сил. Единственный легальный бизнес, который можно найти в связи с его именем, — это небольшой бар в одной из новостроек города. (…) Но он не похож на заведение, приносящее огромный доход. По крайней мере, такой, который соответствовал бы образу жизни, который пара демонстрирует в сети».
«Следователи Управления уголовной полиции из Штутгарта внимательно следят за социальными сетями. Так они надеются узнать, когда Николай К. поедет отдыхать в страну, с которой заключены соглашения о сотрудничестве и где его можно будет арестовать. Соответствующий ордер на арест, как говорят, уже готов. Но Николай К., видимо, больше не покидает Россию, свой недавний отпуск он провел в Крыму».
«По следу группировки идут не только немецкие следователи, но и американское ФБР, которое, возможно, уже внедрилось в нее. Американским властям удалось взломать инфраструктуру вымогателей, сообщило недавно агентство Reuters. Один из ведущих деятелей группировки, выступающий в интернете под псевдонимом 0_neday, косвенно подтвердил это. На форуме преступных предложений 0_neday написал: «Сервер взломали, меня ищут. Всем удачи; я сваливаю».
«Николай К., вероятно, давно узнал о расследовании. Сам он не ответил на вопросы BR и Die Zeit. Управление уголовной полиции Баден-Вюртемберга и прокуратура также не хотят официально комментировать ведущееся расследование. (…) К тому же некоторые из следователей разочарованы отсутствием готовности к сотрудничеству со стороны других стран».
«США уже пытаются оказать давление на государства, которые укрывают вымогателей. Президент США Джо Байден в ходе переговоров с президентом России Владимиром Путиным настаивал на заключении соответствующего соглашения. Кажется, что есть первые успехи. По крайней мере, российские СМИ сообщили, что в отношении таких преступлений обе стороны хотят более тесно сотрудничать в будущем. Но, вероятно, пройдет еще некоторое время, прежде чем это принесет пользу Управлению уголовной полиции Баден-Вюртемберга. А пока Николай К. и его жена могут спокойно жить в роскошных отелях», — заключает Die Zeit.
В написании материала принимали участие Хакан Танриверди и Максимилиан Цирер, Bayerischer Rundfunk
https://www.inopressa.ru/article/28Oct2021/zeit/revil.html