- Joined
- Jan 19, 2011
- Messages
- 7,653
- Contests
- 0
- Reaction score
- 112
На видео показана белая яхта, покачивающаяся в голубых водах Средиземного моря. Молодые люди резвятся на палубе, смеются, пьют и прыгают в воду. Это дорогое удовольствие: Аренда яхты стоит 1 300 евро в день. Этим видео поделилась в социальных сетях Екатерина К.*, в чьем аккаунте часто появляются подобные ролики об отдыхе. Это видео снято в Анталии, на южном побережье Турции, но другие были сделаны из пятизвездочного отеля в Дубае, с Крымского полуострова или даже с Мальдив.
Ее муж Николай К. часто появляется на видео и фотографиях, которые она публикует. Похоже, он предпочитает футболки от Gucci, роскошные спортивные автомобили BMW и большие солнцезащитные очки. Последние несколько месяцев он также носит на запястье часы Vanguard Encrypto - тип роскошных часов, на циферблате которых выгравирован код адреса биткоина, а их стоимость достигает 70 000 евро. Личный счет Николая К. является закрытым, но его девиз открыт для всех и ясно показывает его веру в криптовалюты, такие как биткоин, с помощью которых он зарабатывает свои деньги.
В данном случае, однако, более точным термином может быть "вымогательство". Согласно репортажу, проведенному совместно немецкой общественной вещательной компанией Bayerischer Rundfunk и ZEIT ONLINE, Николай К. входит в группу онлайн-вымогателей, которые зарабатывают на своих преступлениях многие миллионы евро и почти никогда не попадаются. Николай К. - один из крайне редких случаев, когда удалось установить личность преступника, совершившего почти идеальное преступление.
Следователи из Управления уголовной полиции земли Баден-Вюртемберг (LKA) убеждены, что Николай К. входит в основную группу преступников, которые используют программное обеспечение для выкупа под названием REvil. С помощью этого вымогательского программного обеспечения эта основная группа вместе с другими сообщниками атаковала компании и учреждения по всему западному миру и собрала огромные суммы денег.
Нет слишком больших или слишком маленьких компаний, чтобы подвергнуться атаке
В последние годы преступные группировки, использующие ransomware, стали настоящей чумой. Ни одна компания, ни одна городская администрация, ни одна организация не является слишком большой или слишком маленькой, чтобы подвергнуться атаке и, в худшем случае, быть полностью парализованной. Преступники тайно проникают в иностранные компьютерные сети, копируют все данные, а затем шифруют систему. Компьютеры, являющиеся частью этой системы, становятся бесполезными. Городские администрации не могут выполнять свою работу, медицинские учреждения и юридические фирмы разоряются, заводы останавливаются, а больницы не могут получить доступ к историям болезни пациентов. Тем, кто платит вымогателям, высылается ключ для доступа к данным - если повезет. Те, кто не платит, рискуют тем, что их конфиденциальная информация будет опубликована или взломанный доступ к их сетям будет продан другим преступникам.
Существует несколько разновидностей этого вида выкупного ПО. REvil, известная также под названием Sodinokibi, является одной из самых опасных и несет ответственность за многомиллиардный ущерб по всему миру. Федеральное ведомство по информационной безопасности Германии (BSI) классифицирует REvil как одну из самых опасных программ в этой области. В Германии она была использована в 2019 году для атаки на DRK Trägergesellschaft Süd-West - IT-компанию, обслуживающую врачебные кабинеты и больницы. Несколько клиник в западной немецкой земле Рейнланд-Пфальц и в юго-западной земле Саар были вынуждены отключить свои компьютерные системы и перейти на экстренный режим работы.
Неизвестно, кто первым разработал код для REvil. Но существует основная группа, которая продает его всем желающим использовать его для вымогательской деятельности. Разработчики создали прибыльную модель аренды: Преступники могут договориться с группой об использовании программного обеспечения за плату в криптовалюте - такая модель называется "ransomware как услуга". И Николай К., по всей видимости, входит в число тех, кому выплачиваются такие преступные арендные платежи.
Репортеры из Bayerischer Rundfunk и ZEIT ONLINE провели несколько месяцев, отслеживая цифровые следы в социальных сетях, на анонимных каналах Telegram и в мире криптовалют. Журналистам удалось установить, что биткоин по меньшей мере в шести случаях переводился со счетов, связанных с криминальными структурами, на адрес, который, скорее всего, принадлежит Николаю К.
Если вы погуглите имя, которое он использует в социальных сетях, вы найдете адрес электронной почты, используемый для регистрации различных веб-сайтов. Эти сайты связаны с несколькими российскими номерами мобильных телефонов. И один из этих мобильных номеров ведет к аккаунту в Telegram, на котором был опубликован адрес Биткойна. На этот счет было перечислено более 400 000 евро в Биткоинах. Эксперты из компании, специализирующейся на оценке биткоин-платежей и помогающей следователям в таком анализе, говорят, что эти деньги, скорее всего, являются продуктом вымогательства.
Именно такие биткоин-транзакции изначально вывели LKA Баден-Вюртемберга на Николая К. Следователи изучают атаку на Штаатстеатр в Штутгарте в 2019 году, в которой использовалась более ранняя версия REvil под названием Gandcrab. Компьютеры театра были отключены на несколько дней, и сотрудники были вынуждены продавать билеты, написанные от руки. Считается, что в конечном итоге Штаатстеатр заплатил выкуп - 15 000 евро в криптовалюте - и LKA проследила за следами, оставленными этим платежом. Они привели к Николаю К. В то время хакерская группа была еще известна на международном уровне под именем Gandcrab, но следователи и эксперты по информационной безопасности считают, что та же группа теперь ответственна за REvil.
Ransomware как услуга
Несмотря на активизацию международных усилий, властям редко удается найти исполнителей атак с использованием программ-выкупов. А когда им это удается, они в основном ловят мелкую рыбешку, так называемых аффилированных лиц, как это было в двух недавних случаях в Украине и Канаде. Эти филиалы арендуют вредоносное ПО у настоящей преступной группы и затем перечисляют часть вымогаемого выкупа в обмен. Более крупная рыба, такие люди, как Николай К., до сих пор в основном оставались в тени, в основном потому, что они часто находятся в странах, которые не очень готовы к сотрудничеству, когда речь идет о расследовании и экстрадиции. Дело Николая К. также показывает, насколько трудно бывает арестовать и привлечь к ответственности лиц, стоящих за такими вымогательскими операциями.
Николай К. живет с женой в южном российском городе, в доме с бассейном. На подъездной дорожке припаркован BMW мощностью более 600 лошадиных сил. Единственный легальный бизнес, который можно найти в связи с его именем, - это небольшой бар в недавно построенном жилом квартале в городе. Фотографии и видео показывают просто обставленный бар, ориентированный на ставки на спорт - не совсем то заведение, которое приносит огромные деньги. И уж точно не тот, который мог бы финансировать образ жизни, демонстрируемый парой в социальных сетях.
Следователи LKA из Штутгарта внимательно следят за социальными сетями в надежде узнать, когда Николай К. отправится в отпуск в страну, которая имеет соглашение о сотрудничестве с Германией и в которой он может быть арестован. Ордер на арест уже подготовлен. Но Николай К., судя по всему, больше не выезжает за пределы страны и, похоже, провел свой последний отпуск в Крыму.
Тем не менее, дело REvil может стать одним из немногих случаев онлайн-вымогательства, в котором, по крайней мере, выяснена структура банды и установлены личности исполнителей. На след группировки вышли не только немецкие следователи. По данным агентства Reuters, ФБР в США также расследует деятельность группы и, вероятно, внедрилось в нее. Один из лидеров группы, выступающий в Интернете под псевдонимом 0_neday, косвенно подтвердил это. "Сервер был взломан, и они искали меня", - написал 0_neday на форуме для криминальных предложений. "Всем удачи; я ухожу".
Дополнительное политическое давление
Вполне вероятно, что Николай К. также узнал о расследовании. Официально LKA в Баден-Вюртембурге и ответственная прокуратура земли отказались от комментариев по поводу ведущегося расследования. Но некоторые из тех, кто вовлечен в это дело, считают, что важно говорить об успехе расследования. И продемонстрировать, что немецкие ведомства тоже компетентны в этой области - хотя бы как сигнал преступникам, что они не уйдут от ответственности. "Это тревожит, действует как сдерживающий фактор и, возможно, заставит того или иного преступника в будущем сказать: "Нет, я не буду с этим связываться", - говорит один из участников расследования.
Некоторые из следователей также разочарованы отсутствием сотрудничества со стороны других стран и считают, что для окончательного изменения ситуации необходимо большее политическое давление. "Если бы кто-то воровал такие суммы денег, грабя банки, давление было бы гораздо сильнее. Но опасность не осознается", - говорит один из чиновников.
Необходимость более активных действий не оспаривается Министерством внутренних дел Германии, которое отвечает за Федеральное управление уголовной полиции и киберстратегию Германии. Они говорят, что угрозы киберпреступности сейчас воспринимаются так же серьезно, как и борьба с терроризмом.
США уже пытаются оказать давление на страны, укрывающие вымогателей выкупа. Во время беседы с президентом России Владимиром *************************ым президент США Джо Байден настаивал на достижении соглашения по этому вопросу. И, похоже, был достигнут определенный прогресс. Во всяком случае, российские СМИ сообщили, что обе стороны намерены более тесно сотрудничать в будущем, когда дело дойдет до подобных кибервымогательств. Но, вероятно, пройдет некоторое время, прежде чем LKA в Баден-Вюртемберге увидит преимущества. А до тех пор Николай К. и его жена могут продолжать проводить ночи в роскошных отелях.
*Все имена изменены.
Репортаж Хакана Танриверди и Макса Цирера из Баварского радио.
Источник: zeit.de/zustimmung?url=https%3A%2F%2Fwww.zeit.de%2Fdigital%2Finternet%2F2021-10%2Fransomware-group-revil-member-hacker-russia-investigation
Ее муж Николай К. часто появляется на видео и фотографиях, которые она публикует. Похоже, он предпочитает футболки от Gucci, роскошные спортивные автомобили BMW и большие солнцезащитные очки. Последние несколько месяцев он также носит на запястье часы Vanguard Encrypto - тип роскошных часов, на циферблате которых выгравирован код адреса биткоина, а их стоимость достигает 70 000 евро. Личный счет Николая К. является закрытым, но его девиз открыт для всех и ясно показывает его веру в криптовалюты, такие как биткоин, с помощью которых он зарабатывает свои деньги.
В данном случае, однако, более точным термином может быть "вымогательство". Согласно репортажу, проведенному совместно немецкой общественной вещательной компанией Bayerischer Rundfunk и ZEIT ONLINE, Николай К. входит в группу онлайн-вымогателей, которые зарабатывают на своих преступлениях многие миллионы евро и почти никогда не попадаются. Николай К. - один из крайне редких случаев, когда удалось установить личность преступника, совершившего почти идеальное преступление.
Следователи из Управления уголовной полиции земли Баден-Вюртемберг (LKA) убеждены, что Николай К. входит в основную группу преступников, которые используют программное обеспечение для выкупа под названием REvil. С помощью этого вымогательского программного обеспечения эта основная группа вместе с другими сообщниками атаковала компании и учреждения по всему западному миру и собрала огромные суммы денег.
Нет слишком больших или слишком маленьких компаний, чтобы подвергнуться атаке
В последние годы преступные группировки, использующие ransomware, стали настоящей чумой. Ни одна компания, ни одна городская администрация, ни одна организация не является слишком большой или слишком маленькой, чтобы подвергнуться атаке и, в худшем случае, быть полностью парализованной. Преступники тайно проникают в иностранные компьютерные сети, копируют все данные, а затем шифруют систему. Компьютеры, являющиеся частью этой системы, становятся бесполезными. Городские администрации не могут выполнять свою работу, медицинские учреждения и юридические фирмы разоряются, заводы останавливаются, а больницы не могут получить доступ к историям болезни пациентов. Тем, кто платит вымогателям, высылается ключ для доступа к данным - если повезет. Те, кто не платит, рискуют тем, что их конфиденциальная информация будет опубликована или взломанный доступ к их сетям будет продан другим преступникам.
Существует несколько разновидностей этого вида выкупного ПО. REvil, известная также под названием Sodinokibi, является одной из самых опасных и несет ответственность за многомиллиардный ущерб по всему миру. Федеральное ведомство по информационной безопасности Германии (BSI) классифицирует REvil как одну из самых опасных программ в этой области. В Германии она была использована в 2019 году для атаки на DRK Trägergesellschaft Süd-West - IT-компанию, обслуживающую врачебные кабинеты и больницы. Несколько клиник в западной немецкой земле Рейнланд-Пфальц и в юго-западной земле Саар были вынуждены отключить свои компьютерные системы и перейти на экстренный режим работы.
Неизвестно, кто первым разработал код для REvil. Но существует основная группа, которая продает его всем желающим использовать его для вымогательской деятельности. Разработчики создали прибыльную модель аренды: Преступники могут договориться с группой об использовании программного обеспечения за плату в криптовалюте - такая модель называется "ransomware как услуга". И Николай К., по всей видимости, входит в число тех, кому выплачиваются такие преступные арендные платежи.
Репортеры из Bayerischer Rundfunk и ZEIT ONLINE провели несколько месяцев, отслеживая цифровые следы в социальных сетях, на анонимных каналах Telegram и в мире криптовалют. Журналистам удалось установить, что биткоин по меньшей мере в шести случаях переводился со счетов, связанных с криминальными структурами, на адрес, который, скорее всего, принадлежит Николаю К.
Если вы погуглите имя, которое он использует в социальных сетях, вы найдете адрес электронной почты, используемый для регистрации различных веб-сайтов. Эти сайты связаны с несколькими российскими номерами мобильных телефонов. И один из этих мобильных номеров ведет к аккаунту в Telegram, на котором был опубликован адрес Биткойна. На этот счет было перечислено более 400 000 евро в Биткоинах. Эксперты из компании, специализирующейся на оценке биткоин-платежей и помогающей следователям в таком анализе, говорят, что эти деньги, скорее всего, являются продуктом вымогательства.
Именно такие биткоин-транзакции изначально вывели LKA Баден-Вюртемберга на Николая К. Следователи изучают атаку на Штаатстеатр в Штутгарте в 2019 году, в которой использовалась более ранняя версия REvil под названием Gandcrab. Компьютеры театра были отключены на несколько дней, и сотрудники были вынуждены продавать билеты, написанные от руки. Считается, что в конечном итоге Штаатстеатр заплатил выкуп - 15 000 евро в криптовалюте - и LKA проследила за следами, оставленными этим платежом. Они привели к Николаю К. В то время хакерская группа была еще известна на международном уровне под именем Gandcrab, но следователи и эксперты по информационной безопасности считают, что та же группа теперь ответственна за REvil.
Ransomware как услуга
Несмотря на активизацию международных усилий, властям редко удается найти исполнителей атак с использованием программ-выкупов. А когда им это удается, они в основном ловят мелкую рыбешку, так называемых аффилированных лиц, как это было в двух недавних случаях в Украине и Канаде. Эти филиалы арендуют вредоносное ПО у настоящей преступной группы и затем перечисляют часть вымогаемого выкупа в обмен. Более крупная рыба, такие люди, как Николай К., до сих пор в основном оставались в тени, в основном потому, что они часто находятся в странах, которые не очень готовы к сотрудничеству, когда речь идет о расследовании и экстрадиции. Дело Николая К. также показывает, насколько трудно бывает арестовать и привлечь к ответственности лиц, стоящих за такими вымогательскими операциями.
Николай К. живет с женой в южном российском городе, в доме с бассейном. На подъездной дорожке припаркован BMW мощностью более 600 лошадиных сил. Единственный легальный бизнес, который можно найти в связи с его именем, - это небольшой бар в недавно построенном жилом квартале в городе. Фотографии и видео показывают просто обставленный бар, ориентированный на ставки на спорт - не совсем то заведение, которое приносит огромные деньги. И уж точно не тот, который мог бы финансировать образ жизни, демонстрируемый парой в социальных сетях.
Следователи LKA из Штутгарта внимательно следят за социальными сетями в надежде узнать, когда Николай К. отправится в отпуск в страну, которая имеет соглашение о сотрудничестве с Германией и в которой он может быть арестован. Ордер на арест уже подготовлен. Но Николай К., судя по всему, больше не выезжает за пределы страны и, похоже, провел свой последний отпуск в Крыму.
Тем не менее, дело REvil может стать одним из немногих случаев онлайн-вымогательства, в котором, по крайней мере, выяснена структура банды и установлены личности исполнителей. На след группировки вышли не только немецкие следователи. По данным агентства Reuters, ФБР в США также расследует деятельность группы и, вероятно, внедрилось в нее. Один из лидеров группы, выступающий в Интернете под псевдонимом 0_neday, косвенно подтвердил это. "Сервер был взломан, и они искали меня", - написал 0_neday на форуме для криминальных предложений. "Всем удачи; я ухожу".
Дополнительное политическое давление
Вполне вероятно, что Николай К. также узнал о расследовании. Официально LKA в Баден-Вюртембурге и ответственная прокуратура земли отказались от комментариев по поводу ведущегося расследования. Но некоторые из тех, кто вовлечен в это дело, считают, что важно говорить об успехе расследования. И продемонстрировать, что немецкие ведомства тоже компетентны в этой области - хотя бы как сигнал преступникам, что они не уйдут от ответственности. "Это тревожит, действует как сдерживающий фактор и, возможно, заставит того или иного преступника в будущем сказать: "Нет, я не буду с этим связываться", - говорит один из участников расследования.
Некоторые из следователей также разочарованы отсутствием сотрудничества со стороны других стран и считают, что для окончательного изменения ситуации необходимо большее политическое давление. "Если бы кто-то воровал такие суммы денег, грабя банки, давление было бы гораздо сильнее. Но опасность не осознается", - говорит один из чиновников.
Необходимость более активных действий не оспаривается Министерством внутренних дел Германии, которое отвечает за Федеральное управление уголовной полиции и киберстратегию Германии. Они говорят, что угрозы киберпреступности сейчас воспринимаются так же серьезно, как и борьба с терроризмом.
США уже пытаются оказать давление на страны, укрывающие вымогателей выкупа. Во время беседы с президентом России Владимиром *************************ым президент США Джо Байден настаивал на достижении соглашения по этому вопросу. И, похоже, был достигнут определенный прогресс. Во всяком случае, российские СМИ сообщили, что обе стороны намерены более тесно сотрудничать в будущем, когда дело дойдет до подобных кибервымогательств. Но, вероятно, пройдет некоторое время, прежде чем LKA в Баден-Вюртемберге увидит преимущества. А до тех пор Николай К. и его жена могут продолжать проводить ночи в роскошных отелях.
*Все имена изменены.
Репортаж Хакана Танриверди и Макса Цирера из Баварского радио.
Источник: zeit.de/zustimmung?url=https%3A%2F%2Fwww.zeit.de%2Fdigital%2Finternet%2F2021-10%2Fransomware-group-revil-member-hacker-russia-investigation
Last edited by a moderator: