ФБР арестовало $2,3 млн, которые принадлежали киберпреступникам-вымогателям из REvil

Согласно судебным документам, в августе ФБР арестовало 2,3 млн долларов, которые принадлежали известной банде киберпреступников, использовавшей шифровальщик Gandcrab.

Не так давно стало известно, что 3 августа 2021 года на кошельке Exodus ФБР арестовало 39.89138522 биткойнов общей стоимостью 2,3 млн долларов (1,5 млн долларов на момент ареста).

Exodus – это кошелек, который используется для хранения криптовалюты, включая Bitcoin, Ethereum, Solana и др.

Сотрудники ФБР не сообщают, как получили доступ к кошельку. Предположительно, у них был пароль к кошельку или ключевая фраза.

«Соединенные Штаты Америки подают иск на основе клятвенного заявления против 39.89138522 биткойнов, которые арестованы на кошельке Exodus («собственность ответчика») и находятся теперь на хранении и под управлением Далласского подразделения Федерального бюро расследований («ФБР») по адресу Джастис Уэй, 1, Даллас, штат Техас», – говорится в иске.

Далее сообщается, что в кошельке находились деньги организованной банды киберпреступников REvil, полученные в качестве выкупа аффилированным лицом «Aleksandr Sikerin, a/k/a Alexander Sikerin, a/k/a Oleksandr Sikerin» (адрес электронной почты engfog1337@gmail.com).

ФБР не указывает онлайн-псевдоним злоумышленника, однако, ник «engfog» в адресе имеет отношение к «Lalartu», преступнику банды REvil/Sodinokibi, который связан с трояном-шифровальщиком GandCrab.

Охота за аффилированными лицами

Организации GandCrab и REvil работали как вымогатели, где основные операторы вступали в партнерские отношения с внешними хакерами, известными как аффилированные лица.

Согласно договоренности, основные операторы разрабатывают и управляют программным обеспечением для шифрования/дешифрования данных, платежным порталом и сайтами, на которых размещается конфиденциальная информация жертв. Аффилированные лица должны взламывать корпоративные сети, воровать данные и устанавливать программу-вымогатель для шифрования устройств.

Выкуп потом делится между основными операторами и аффилированным лицом в соотношении 20%-30% на 80%-70%.

Специалисты McAfee проследили за денежным переводом на имя злоумышленника «Lalartu», который является аффилированным лицом GandCrab и REvil.

В 2019 году на русскоязычном форуме хакеров он признался, что работал с шифровальщиком GandCrab и примкнул к группировке REvil после закрытия предыдущей конторы.

Когда компания McAfee опубликовала свой отчет, Алон Гал, исследователь, занимающийся вопросами безопасности, попытался выяснить настоящее имя Lalartu.

В ходе расследования он связал ник Lalartu с «Engfog» и «Eng_Fog», а они совпадают с адресом электронной почты «engfog1337@gmail.com», который указан в иске ФБР.

Дальнейшие поиски позволили сделать вывод, что за ником Lalartu скрывается некий Александр Сикерин (это имя тоже упоминается в иске).

В ноябре Министерство юстиции сообщило, что ФБР арестовало 6 млн долларов, которые принадлежали группировке REvil.

Неясно, включены ли 2,3 млн долларов в сумму, заявленную министерством.

Стратегия правоохранительных органов по подрыву экономики и партнерских сетей киберпреступников-вымогателей приносит свои плоды.
В ходе операции были совершены многочисленные аресты и разрушена инфраструктура злоумышленников:

• прекращена работа Netwalker и арестовано аффилированное лицо в Канаде;
• арест двух операторов Egregor привел к закрытию организации;
• арестованы 12 человек, которые связаны с атаками программ-вымогателей против 1800 жертв в 71 стране;
• арестован гражданин Украины, который, как считается, стоит за атакой Kaseya.

В результате свою деятельность прикрыли организации REvil (в октябре) и BlackMatter (в июле).