В значительном прорыве для международных расследований киберпреступности Федеральное ведомство уголовной полиции Германии (Bundeskriminalamt или BKA) успешно установило реальные личности основных угрозовых акторов, стоявших за печально известной операцией вымогателя REvil. Ныне несуществующий синдикат «ransomware-as-a-service» (RaaS), также известный как Sodinokibi, был ответственен за опустошительную серию атак по всему миру, включая 130 подтвержденных инцидентов только в Германии. Расследование BKA, проведенное в тесном сотрудничестве с международными партнерами, прорвало завесу анонимности, которая обычно защищает таких киберпреступников, конкретно назвав ключевую фигуру, действовавшую под псевдонимом «UNKN». Этот индивидуум выступал в качестве основного представителя и вербовщика картеля REvil, впервые разместив рекламу вредоносного сервиса-вымогателя на известном русскоязычном киберпреступном форуме XSS в июне 2019 года.
Идентификация «UNKN» и его сообщников знаменует собой критический шаг к привлечению архитекторов кампаний-вымогателей к ответственности. Бизнес-модель REvil предполагала сдачу в аренду своего сложного шифрующего вредоносного ПО аффилированным «партнерам» (аффилиатам), которые затем проводили атаки по всему миру, отчисляя процент от вымогаемых выплат основной группе. Такая структура чрезвычайно затрудняла атрибуцию. Успех BKA стал результатом скрупулезного многолетнего расследования, в ходе которого анализировались технические артефакты, финансовые транзакции и коммуникации на форумах. Раскрыв личности лиц, управлявших платформой RaaS, власти теперь могут предпринимать более целенаправленные юридические действия, потенциально дестабилизируя всю сеть аффилиатов, которые полагались на инструменты и инфраструктуру REvil.
Оперативная ликвидация REvil в конце 2021 года после скоординированного международного давления стала крупной победой. Однако установление личности его лидеров предоставляет crucial постфактум разведданные и служит мощным сдерживающим фактором. Это демонстрирует, что даже после роспуска группы правоохранительные органы продолжают преследовать ее членов, сокращая разрыв между кибероперациями и реальными последствиями. Это дело также подчеркивает жизненную важность трансграничного сотрудничества в киберполицейской деятельности, поскольку BKA работал с такими агентствами, как ФБР США и Europol, чтобы связать цифровые псевдонимы с физическими лицами. 130 немецких жертв, включая малые и средние предприятия, а также более крупные корпорации, понесли серьезный финансовый и операционный ущерб, что подчеркивает ощутимый вред, причиняемый такими экосистемами RaaS.
В перспективе заявление BKA отправляет четкий сигнал нынешним и потенциальным операторам программ-вымогателей: анонимность не гарантирована. Хотя ландшафт программ-вымогателей продолжает развиваться с появлением новых групп, успешная атрибуция и судебное преследование высокопоставленных акторов создают прецедент. Это укрепляет правовую базу для борьбы с киберпреступностью и вселяет в организации-жертвы надежду на то, что преступники могут быть привлечены к ответственности. Данное развитие событий — не просто решение преступлений прошлого; это упреждающая мера по подрыву уверенности преступного мира, делающая бизнес-модель RaaS более рискованной и менее привлекательной для квалифицированных угрозовых акторов, рассматривающих возможность входа в это пространство.
