Эксперты выудили у операторов REvil подробности об обналичивании выкупа
22 апреля 2021 года
Миллионные депозиты и «свои люди» на криптовалютных биржах – эти и другие подробности о деятельности операторов вымогательского ПО удалось узнать сотрудникам CyberNews в ходе беседы с человеком, связанным с группировками Ragnar Locker и REvil.
Исследователи безопасности регулярно посещают хакерские форумы для сбора информации о киберугрозах, и сотрудники CyberNews не являются исключением. Тем не менее, они и предположить не могли, чем закончится одно из таких посещений.
В июне 2020 года исследователи собирали данные на популярном хакерском форуме и наткнулись на неожиданную рекламу – нашумевшая кибервымогательская группировка REvil объявила о поиске участников для своей «партнерской программы». Исследователи сразу же ухватились за такую возможность, подали заявку, прикинувших киберпреступником из России, и вскоре им пришло приглашение на собеседование в закрытый чат qTox. Там они познакомились с киберпреступниками, проводившими операции с вымогательским ПО в течение более десяти лет.
Группировка REvil в настоящее время является одной из самых опасных в мире. Именно она начала первой использовать тактику двойного вымогательства – если жертва отказывалась платить за восстановление зашифрованных REvil файлов, группировка угрожала опубликовать похищенные у нее конфиденциальные данные.
В рекламе на форуме группировка обещала участникам «партнерской программы» 70-80% от суммы заплаченного жертвами выкупа, довольствуясь скромными 20%. Это слишком щедрое предложение могло вызвать подозрения у потенциальных партнеров, поэтому, для того чтобы доказать его подлинность, REvil внесла на свой форумный кошелек депозит в размере $1 млн (в биткойнах).
Вопросы о соответствующих навыках и опыте были лишь частью собеседования. Обязательным требованием для потенциального партнера было владение русским языком. Человек, проводивший собеседование, задавал исследователям общие вопросы на знание истории России и Украины, а также народного/уличного фольклора, который «нельзя загуглить».
Как выяснилось в ходе собеседования, группировка состоит из четырех участников, и им не хватает пятого. Пятый участник должен уметь работать с инструментом Cobalt Strike, использующимся вымогателями после взлома атакуемой системы.
Крупнейший выкуп, который удалось получить группировке, составляет $18 млн. Из них разработчик вымогательского ПО получил 30%, а остальное разделили между собой участники группировки (по $2,5 млн «на брата»).
У киберпреступников есть связи среди сотрудников криптовалютных бирж, помогающие им сохранять инкогнито, менять полученные в качестве выкупа биткойны на доллары и даже отмывать их. По словам человека, проводившего собеседование, партнер должен открыть счет в указанной криптовалютной бирже и вносить туда полученный от жертв выкуп. Он также рекомендовал конвертировать в доллары не всю сумму сразу, а «маленькими» частями не более $1 млн, иначе резкий выброс биткойнов на рынок может повлиять на их курс и вызвать негодование среди сообщества.
Когда криптовалюта уже переведена в доллары, «свой
человек» на бирже (за 4% комиссионных) обналичивает средства и передает по нужному адресу. Что интересно, забирать сразу все наличные также не рекомендуется. Лучше всего получать деньги небольшими пакетами по $1 млн, тогда их вес не превысит 10 кг и не будет представлять опасность и доставлять неудобства курьеру.
Источники[править]
| Эта статья содержит материалы из статьи «Эксперты выудили у операторов REvil подробности об обналичивании выкупа», опубликованной на сайте SecurityLab.ru и распространяющейся на условиях лицензии Creative Commons Attribution 3.0 Unported (CC-BY 3.0 Unported). |  |
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.
Комментарии[править]
Если вы хотите сообщить о проблеме в статье (например, фактическая ошибка и т. д.), пожалуйста, используйте обычную страницу обсуждения.
Комментарии на этой странице могут не соответствовать политике нейтральной точки зрения, однако, пожалуйста, придерживайтесь темы и попытайтесь избежать брани, оскорбительных или подстрекательных комментариев. Попробуйте написать такие комментарии, которые заставят задуматься, будут проницательными или спорными. Цивилизованная дискуссия и вежливый спор делают страницу комментариев дружелюбным местом. Пожалуйста, подумайте об этом.
Несколько советов по оформлению реплик:
- Новые темы начинайте, пожалуйста, снизу.
- Используйте символ звёздочки «*» в начале строки для начала новой темы. Далее пишите свой текст.
- Для ответа в начале строки укажите на одну звёздочку больше, чем в предыдущей реплике.
- Пожалуйста, подписывайте все свои сообщения, используя четыре тильды (~~~~). При предварительном просмотре и сохранении они будут автоматически заменены на ваше имя и дату.
Обращаем ваше внимание, что комментарии не предназначены для размещения ссылок на внешние ресурсы не по теме статьи, которые могут быть удалены или скрыты любым участником. Тем не менее, на странице комментариев вы можете сообщить о статьях в СМИ, которые ссылаются на эту заметку, а также о её обсуждении на сторонних ресурсах.
