Сотрудник фирмы по переговорам с хакерами попал под расследование за получение «откатов» от злоумышленников
Министерство юстиции США проводит расследование в отношении бывшего сотрудника компании по обслуживанию криптовалютных платежей DigitalMint. Сотрудника обвиняют в том, что он заключил соглашение с хакерами во время атаки с использованием вымогательского программного обеспечения и незаконно получил прибыль от выкупа, выплаченного пострадавшими организациями.
Дело об «откатах»
Бывший переговорщик по ИТ-инцидентам с хакерами-вымогателями из компании DigitalMint оказался в центре уголовного расследования Министерства юстиции США, пишет TechSpot. По версии следователей, он получал от хакеров проценты от суммы выкупов и теперь его обвиняют в сотрудничестве с преступными хакерскими группировками.
Подозреваемый до лета 2025 г. работал в американской компании DigitalMint, специализирующейся на реагировании на киберинциденты и переводах цифровых активов. С момента основания в 2017 г. ИТ-компания провела более 2 тыс. переговоров с хакерами-вымогателями для получения дешифраторов или предотвращения утечки украденных данных.
По данным Bloomberg, Министерство юстиции США проверяет, существовали ли у сотрудника DigitalMint связи с киберпреступниками и получал ли он часть выкупа, выплачиваемого клиентами. Точная сумма ущерба по уголовному делу 3 июля 2025 г. еще не установлена. В DigitalMint подтвердили, что один из бывших сотрудников действительно стал фигурантом уголовного дела, и после выявления возможных нарушений его уволили.
Сотрудники Министерства юстиций США и Федерального бюро расследования (ФБР) 3 июля 2025 г. официальных комментариев по поводу ситуации не дают.
Руководство ИТ-компании отмечает, что сама DigitalMint не является объектом расследования. Представители DigitalMint сообщили журналисту Bloomberg, что ИТ-компания оперативно приняла меры для защиты интересов клиентов и активно сотрудничает с правоохранительными органами. После выяснения обстоятельств они начали уведомлять все заинтересованные стороны. Представители DigitalMint уклонились от ответа на дополнительные вопросы, такие как факт ареста подозреваемого, сославшись на продолжающееся расследование.
По информации источников Bloomberg, в связи со скандалом ряд юридических и страховых компаний рекомендовали клиентам временно отказаться от услуг DigitalMint до окончания проверки.
Сомнительный бизнес
Тема сомнительных схем на рынке ИТ-реагирования на кибератаки хакеров-вымогателей обсуждалась и раньше. В 2019 г. были обнародованы данные, указывающие, что некоторые американские ИТ-компании, занимающиеся восстановлением данных, тайно выплачивали выкуп вымогателям, не уведомляя об этом клиентов. При этом суммы таких платежей тогда были значительно меньше, чем многомиллионные суммы, которые компании выплачивают в 2025 г.
Некоторые группировки, такие как GandCrab и REvil, создавали специальные скидочные коды и интерфейсы для посредников, чтобы те могли договариваться о снижении суммы выкупа. Руководитель другой ИТ-компании, занимающейся переговорами с хакерами-вымогателями, отметил, что бизнес-модели, где доход зависит от объема или размера транзакций, особенно уязвимы к злоупотреблениям сотрудниками. По его словам, фиксированный процент от выплачиваемого выкупа, который получает посредник, неизбежно сказывается на объективности его рекомендаций. Эксперт также отметил, что выплата выкупа в большинстве случаев ошибочна, но убедить в этом компанию, пострадавшую от ИТ-атаки, бывает крайне сложно.

Противоречие также подчеркивает сохраняющиеся опасения по поводу конфликта интересов в индустрии переговоров о программах-вымогателях. «Переговорщик попросту не заинтересован в снижении цены на выкуп или в информировании жертвы обо всех фактах. Ведь при любых раскладах ИТ-компания, к примеру DigitalMint, на которую работает переговорщик, получает прибыль от размера уплаченного требования. Все просто и понятно», — сказал генеральный директор компании по киберразведке AFTRDRK Джеймс Талиенто (James Taliento).
Расследование в отношении бывшего сотрудника DigitalMint еще раз подчеркнуло хрупкость и двусмысленность отрасли реагирования на кибератаки хакеров-вымогателей, где финансовые стимулы часто конфликтуют с интересами пострадавших компаний и основами кибербезопасности.
Отрасли по ударом вымогателей
Кибератаки хакеров-вымогателей представляют значительный риск для предприятий всех размеров и отраслей. Согласно отчету, наибольшему числу атак подвергается производственная отрасль, на которую приходится более чем в два раза больше ИТ-атак, чем на любую другую отрасль.
Отрасли сталкиваются с нестандартными ранее проблемами, связанными с атаками вирусов-вымогателей, в зависимости от того, как они работают, как обрабатывают данные и как устроена их технологическая ИТ-инфраструктура. Число компаний-жертв, указанных на сайтах утечки данных в 2024 г., увеличилось почти на 58% по сравнению с отчетом о вымогательстве за 2023 г. Как писал ранее CNews, наиболее подверженные атакам хакеров-вымогателей отрасли в мире: производство; здравоохранение; технологии; образование; финансовые услуги.
Доходы у хакеров-вымогателей
Согласно данным из доклада исследовательской компании Chainalysis, в 2024 г. хакерам-вымогателям удалось с помощью вредоносного программного обеспечения (ПО) получить от пострадавших $814 млн в качестве выкупа за восстановление информации. Это на 35% меньше, чем в рекордном 2023 г., а также меньше, чем в 2020 и 2021 г.
Как отмечают авторы доклада, в 2024 г. хакерских ИТ-атак с помощью вирусов-вымогателей стало больше. Однако запрашиваемые суммы выкупа были на 53% больше, чем удалось получить преступникам.
Падение объемов выплат наблюдалось и в другие годы, например, в 2021 г. разница между полугодиями составила 19,84%, в 2022 г. — 20,4%, в 2023 г. — 22,23%. Но падение 2024 г. стало самым резким. Причиной этого специалисты по информационной безопасности (ИБ) называют успешную работу спецслужб разных стран мира по блокировке или ограничению деятельности хакерских группировок, а также нежелание пострадавших выплачивать слишком большие суммы даже при риске потери данных.