В России арестована группа хакеров-вымогателей, замаскированная под ИТ-компанию
Киберпреступники и создатели шифровальщика SugarLocker были арестованы российской полицией при помощи специалистов по информационной безопасности из компании F.A.C.C.T.
Сдача шифровальщика данных в аренду
Сотрудники Бюро специальных технических мероприятий (БСТМ) МВД России при поддержке специалистов ИБ-компании F.A.С.С.T. (российский филиал бывшей Group-IB) арестовали вымогателей из группировки SugarLocker. Злоумышленники работали под вывеской легальной ИТ-компании, предлагающей услуги по разработке лендингов, мобильных приложений и интернет-магазинов.
По данным следствия, программа-вымогатель SugarLocker (она же Encoded01) появилась еще в начале 2021 г., но в первое время активно не использовалась. Спустя некоторое время, осенью того же года на форуме RAMP человек под ником gustavedore опубликовал объявление о «сдаче в аренду» шифровальщика SugarLocker за процент от незаконного дохода с его помощью.
Он заявил, что хакерская группировка атакует цели через протокол удаленного рабочего стола (Remote Desktop Protocol или RDP), но не работает по странам СНГ. Хакеры были готовы начать работу с партнерами на условиях: 70% от выручки получает партнер, а 30% — владельцы-арендодатели самого шифровальщика.
Киберкапиталисты с незаконными схемами также придумали мотивирующую схему для покупателей. Если «партнер» сможет заработать более $5 млн, прибыль будет распределена на более выгодных условиях: хакеры оставят себе всего лишь 10% от заработка.
Почему попались мошенники
В начале января 2022 г. эксперты F.A.C.C.T. установили, что некоторые элементы инфраструктуры SugarLocker располагались на российских хостингах. Из-за того, что злоумышленники допустили ошибку в конфигурации веб-сервера, удалось обнаружить панель управления программой-вымогателем.
В ходе расследования были установлено несколько фигурантов, которые не только занимались продвижением своего шифровальщика, но и разрабатывали вредоносное программное обеспечение на заказ, создавали фишинговые сайты интернет-магазинов, нагоняли трафик пользователей на популярные в России и СНГ мошеннические схемы.
Хакеры работали под вывеской легальной ИТ-фирмы Shtazi-IT, предлагающей разнообразные услуги по ИТ-разработке от скриптов до мобильных приложений. Компания открыто размещала объявления о найме новых разработчиков, а в контактах был указан Telegram-аккаунт под тем же ником GustaveDore, который опубликовал сообщение об аренде шифровальщика на форуме RAMP в 2021 г.
Специалисты по кибербезопасности F.A.C.C.T. передали все сведения в полицию. В январе 2024 г. трое членов группы SugarLocker были задержаны сотрудниками БСТМ МВД России. В ходе обыска у подозреваемых были обнаружены ноутбуки, мобильные телефоны, следы переписки, прочие цифровые улики, подтверждающие их противоправную деятельность. Им предъявлены обвинения по 273 статье УК РФ (создание, использование и распространение вредоносных компьютерных программ). Киберпреступникам грозит до пяти лет лишения свободы.
F.A.C.C.T. заявили, что среди задержанных оказался и обладатель ник-неймов blade_runner, GistaveDore, GustaveDore, JimJones.
По сведениям РБК, под ником GustaveDore может скрываться Александр Ермаков, которого США и Австралия внесли в санкционные списки и подозревают в краже данных 9,7 млн австралийцев, которые являлись клиентами страховой медицинской компании Medibank Private, так как ник был использован во время совершения этого преступления в 2022 г.
Из-за продолжающегося следствия F.A.C.C.T. не смогли ответить на вопросы CNews.
Зоны ответственности БСТМ МВД России
Основными задачами БСТМ МВД России являются борьба с киберпреступностью, изготовлением и распространением вредоносных программ, а также противодействие мошенничеству посредством электронных платежных систем.
Специалисты из подразделения «К» МВД России участвовали в международном сотрудничестве в области киберпреступлений. БСТМ МВД взаимодействует с правоохранительными органами иностранных государств, как в двусторонних операциях, так и в многосторонних (например, на базе СНГ или Шанхайской организации сотрудничества – ШОС).