Дело в отношении предполагаемых членов группировки REvil, в январе задержанных ФСБ, зашло в тупик. Основанием для операции послужило обращение американских спецслужб, однако к настоящему моменту власти США отказались от дальнейшего сотрудничества, и в результате обвинить задержанных удалось только в махинациях с банковскими картами, принадлежащими двум проживающим в США мексиканцам.

Источник изображений: Gerd Altmann / pixabay.com

В апреле замглавы Совбеза России Олег Храмов рассказал «Российской газете», что из-за действий американской стороны уголовное преследование предполагаемых хакеров фактически зашло в тупик. Летом прошлого года президенты России и США договорились о совместном противостоянии международным хакерским группировкам, и первым делом в рамках сотрудничества стала работа по REvil: американская сторона попросила российскую «немедленно арестовать главного хакера», которым они считали петербуржца Даниила Пузыревского.

Он и ещё несколько лиц были задержаны ФСБ только полгода спустя, когда спецслужба провела «собственное кропотливое расследование». Однако американцы за это время не сделали ничего, чтобы расследование продвинулось вперёд: не прислали российской стороне дополнительных доказательств, хотя и обещали это сделать, и не подтвердили ущерб от вымогательских действий. «Более того, они уведомили нас, что в одностороннем порядке выходят из переговорного процесса и закрывают канал связи», — рассказал генерал Храмов.

В этой связи, сообщает «Коммерсантъ», защита Дмитрия Коротаева, который проходит обвиняемым по «делу REvil», обратилась к господину Храмову и заявила, что приведённые им факты полностью соответствуют реальному ходу уголовного дела: к настоящему моменту следствие МВД обвинило предполагаемых хакеров только в махинациях с банковскими картами. Потерпевшими значатся двое граждан США мексиканского происхождения, чьи карты использовались для заказа товаров в интернет-магазинах. При этом показания самих потерпевших отсутствуют, нет даже информации о размере нанесённого им ущерба.

Адвокаты утверждают, что деятельность группировки REvil в России вообще не обсуждалась, отсутствуют потерпевшие, не указан нанесённый им ущерб, а за четыре месяца, которые Коротаев провёл в СИЗО, его ни разу не вызывали на допрос. В этой связи защита просит у генерала Храмова содействия в изменении меры пресечения арестованному и даже в прекращении его уголовного преследования. За отсутствием потерпевших и ущерба дело не имеет в суде никаких перспектив, и даже изъятые спецслужбой активы обвиняемых ($600 тыс., €500 тыс., криптовалюты на сумму 426 млн руб. и 20 автомобилей премиум-класса) едва ли получится обратить в доход государства. В аппарате Совбеза обращение защитников комментировать не стали, поскольку его задачей является координация действий ведомств, входящих в рабочую группу по кибербезопасности, а не вмешательство в их деятельность.

Между тем, спецслужбы разных страны и эксперты склонны считать группировку REvil международной. Предполагается, что входящие в неё киберпреступники дистанционно заражают сети крупных корпораций и в конфиденциальном порядке получают выкуп от их руководства. Предполагаемыми жертвами деятельности вымогателей являются Quanta Computer, выступающая поставщиком Apple, мясной производитель JBS, оператор американских нефтепроводов Colonial Pipeline и около 20 других крупных компаний. Специалисты говорят, что REvil «заработала» на незаконной деятельности сотни миллионов долларов, однако точную сумму установить трудно, поскольку выкупы переводятся в криптовалютах. Кроме того, есть сведения, что после операции ФСБ группировка возобновила свою деятельность.

В начале этого года сотрудники ФСБ России провели задержание восьми человек, которые, предположительно, являлись членами хакерской группировки REvil, а также взяли под контроль используемую ими IT-инфраструктуру. Однако некоторое время назад TOR-сайты REvil вернулись в работу, а позднее в сети был обнаружен новый образец вредоносного программного обеспечения, которое использовалось хакерами во время атак.

Источник изображений: Bleeping Computer

Арест предполагаемых участников REvil был проведён по запросу США в рамках сотрудничества в сфере кибербезопасности. Это связано с тем, что основные цели атак хакеров с помощью вымогательского ПО находились в США. Однако после обострения ситуации на Украине американское правительство в одностороннем порядке прекратило сотрудничество и вышло из переговорного процесса по REvil.

Несколько недель назад специалисты в сфере информационной безопасности обратили внимание на то, что используемые ранее TOR-сайты REvil вернулись в работу. При этом на них не было старой информации, они использовались для перенаправления посетителей на URL-адреса, якобы новой хакерской группировки. На тот момент говорить о возвращении REvil было преждевременно, поскольку новые образцы вымогательского ПО хакеров не были выявлены.

Теперь же стало известно, что сотрудник компании Avast Якуб Кроустек (Jakub Kroustek) обнаружил в интернете вирус-вымогатель, который может являться модифицированным шифровальщиком REvil. Отметим, что другие хакерские группировки также использовали шифровальщик REvil в прошлом, но, как правило, они не имели доступа к исходному коду вируса, поэтому не могли самостоятельно его модифицировать.

По мнению ряда специалистов, обнаруженный недавно вредонос скомпилирован из исходного кода REvil, но в нём содержатся изменения. Отмечается, что, хотя номер версии обнаруженного образца 1.0, по сути он является продолжением шифровальщика REvil 2.08, который был создан ещё до прекращения деятельности группировки.

Вернувшиеся в работу сайты REvil перенаправляют посетителей на сайт группировки Sodinokibi, которая, предположительно, является автором модифицированного шифровальщика. Этот сайт во многом схож с тем, что в прошлом использовали хакеры из REvil. Хотя представитель REvil, известный под ником Unknown, пока не выходил на связь, исследователи считают, что один из основных разработчиков вымогателя группировки перезапустил вредоносную кампанию под другим именем. При этом отмечается, что для REvil не свойственно публично заявлять о своём возвращении, поскольку прежде хакеры предпочитали тщательно скрывать свою деятельность.