Виталий Ковалев, русский хакер, который имеет офисы и раздает премии сотрудникам

Лишь немногие называли его по имени. Не было даже имени, кроме псевдонимов Штерн или Бен. Недавняя международная полицейская операция разоблачила 36-летнего Виталия Николаевича Ковалева, главаря одной из крупнейших в мире киберпреступных сетей Conti. Он специализируется на ransomware - программах, которые захватывают компьютеры и требуют вознаграждения за их освобождение. С компьютеров Ковалева был создан Trickbot, одна из самых распространенных программ-вымогателей в Испании, которая, как предполагается, затронула 4 % всех компаний по всему миру. Полиция США и Германии считает, что Ковалев живет в Москве, где на его имя зарегистрировано несколько компаний, и что он владеет криптовалютным кошельком на сумму $1 млрд. «По данным Федерального управления уголовной полиции Германии (BKA), Conti »выросла до более чем 100 членов и действовала организованно, иерархически, ориентируясь на проекты и прибыль. Группа ответственна за заражение сотен тысяч систем по всему миру и заработала сотни миллионов евро на своей незаконной деятельности". Среди ее жертв - государственные органы, компании и частные лица. В 2020 году, в разгар пандемии, они атаковали несколько американских больниц и потребовали выкуп в размере 10 миллионов долларов. "Благодаря расследованию компании Check Point Research, занимающейся анализом кибербезопасности, которая получила доступ к внутренним документам, предоставленным предполагаемым инсайдером, стали известны многие подробности о Conti. Можно сказать, что она организована как технологическая компания. У нее четко определенная иерархическая структура, во главе которой стоит Ковалев, а руководители групп подчиняются региональным менеджерам. В компании есть отдел кадров, отвечающий за прием на работу, выплату зарплаты (в биткоинах) и премирование сотрудников по итогам месяца. У компании даже есть несколько физических офисов: "Они набирали сотрудников не только через объявления в темной паутине, или темном интернете, но и делая предложения о работе по профилям, предварительно выявленным после анализа кучи украденных резюме. В их штате есть программисты, компьютерные инженеры, криптографы, системные администраторы, специалисты по разведке и переговорщики". «Некоторые сотрудники даже не знают, что работают на банду киберпреступников», - отмечают в CheckPoint. В онлайн-собеседовании, доступ к которому получила лаборатория группы кибербезопасности, менеджер говорит соискателю, что «здесь все анонимно, эта компания занимается тестированием на проникновение», или проверкой безопасности систем с помощью контролируемых атак. "Ковалев и еще 35 подозреваемых преступников, выявленных в ходе операции правоохранительных органов, получившей название Operation Endgame, обвиняются в разработке Qakbot и Danabot, двух наиболее известных и анализируемых угроз в глобальной киберпреступности. После нескольких лет расследования агентам в США, Великобритании, Канаде, Дании, Нидерландах, Германии и Франции удалось установить ключевых фигур, стоящих за этими инструментами. Qakbot, в частности, является одним из старейших и наиболее сложных банковских троянцев, действующих с 2007 года, и со временем расширил свои возможности, включив такие функции, как кража учетных данных, эксфильтрация электронной почты и распространение выкупного ПО, - объясняет Марк Риверо, руководитель отдела исследований безопасности в Kaspersky. Хакеры из этих преступных группировок использовали Qakbot для внедрения высокоразрушительных программ-вымогателей, таких как Conti или REvil. "Одной из главных вех их деятельности стало участие в цепочках заражений, затронувших правительственные учреждения и финансовые институты в США. Считалось, что Qakbot был ликвидирован в 2023 году после очередной международной операции правоохранительных органов во главе с США, но позже в том же году была выпущена новая версия трояна - компьютерного вируса, который маскируется под легитимную программу для получения доступа к целевым системам. Однако в конце того же года была выпущена новая версия трояна - компьютерного вируса, который маскируется под легитимную программу для получения доступа к целевым системам. Жертва получает письмо по электронной почте, якобы от своего банка, со ссылкой на скачивание. После установки программы она начинает выполнять транзакции без ведома пользователя. Вскоре злоумышленники завладевают паролями для доступа к банку или даже контролем над самим устройством. Несмотря на постоянные усилия полиции, Qakbot развивается уже 15 лет. Danabot, напротив, появился гораздо позже. Активный с 2018 года, он продвигается в виде вредоносного ПО как услуги (MaaS), что «позволяет многим преступникам, даже не имеющим продвинутых знаний, войти в мир киберпреступности, поскольку предоставляет им все необходимое в обмен на очень доступные суммы денег», - иллюстрирует Жозеп Альборс, директор по исследованиям ESET в Испании. Известно, что Danabot использовался для успешной атаки типа «отказ в обслуживании» (DDoS), которая заключается в блокировании целевого веб-сайта потоком сообщений, против Министерства обороны Украины вскоре после российского вторжения. "Она использовалась как для финансовых махинаций, так и для проведения атак от имени российских государственных интересов. Это хороший пример того, как криминальная инфраструктура может использоваться как для получения финансовой выгоды, так и для достижения геополитических целей«, - говорит Адам Мейерс, директор по операциям с угрозами компании CrowdStrike. »Благодаря своему влиянию и простоте использования «Qakbot и Danabot, вероятно, значительно изменили ландшафт киберугроз», - говорит Джейми Уильямс, старший исследователь угроз в Palo Alto Networks. По словам представителей операции «Эндшпиль», им удалось уничтожить хакерскую сеть, стоявшую за этими сложными программами выкупа, в том числе вывести из строя 300 серверов (компьютеров, которые обслуживают других людей, аппаратное обеспечение, на котором работает веб-сайт) и 650 доменов (уникальных веб-адресов), а также вывести более 3 млн евро в криптовалютах. "И Danabot, и Qakbot были вредоносным ПО как услуга, а это значит, что уничтожение их инфраструктуры затрагивает не только их собственную преступную деятельность, но и всех, кто пользовался этими инструментами. Теперь они потеряли доступ к компьютерам, которые они уже взломали и управляли с помощью этих программ, - говорит Джери Ревей, старший исследователь безопасности в FortiGuard Labs, - но выследить преступников, которые используют эту схему, - не то же самое, что уничтожить ее". Мир киберпреступности - очень скользкий. Особенно если в нем есть государства, которые их поддерживают". Из 36 человек, выявленных в ходе операции «Эндшпиль», 20 имеют международный ордер на арест, а еще 16 находятся под обвинительным заключением Министерства юстиции США. Но поскольку подавляющее большинство из них базируется в России, шансы на их арест невелики. "Эти банды часто базируются в странах, не имеющих соглашений об экстрадиции, и не сотрудничают с Европолом, Интерполом или ФБР. Пока они не совершат взлом, поймать их очень сложно", - объясняет Рафаэль Лопес, инженер по безопасности компании Check Point Software. Но они все же случаются". В прошлом году один из людей, ответственных за Lockbit, другую программу-вымогатель, был арестован Гражданской гвардией в аэропорту, когда он приехал в Испанию на отдых. Москва защищает этих предполагаемых преступников еще и потому, что, помимо поиска собственной выгоды, они часто проводят кибероперации в защиту интересов России, как мы видели на примере войны в Украине. Но даже если аресты произведены, уничтожить одну из таких группировок очень сложно. "Многие банды, занимающиеся распространением выкупного ПО, как правило, появляются вновь через некоторое время. Они часто меняют свои имена, чтобы продолжать действовать, - говорит Хавьер Висенте, исследователь угроз из Zscaler, - однако те, кто стоит за международной операцией, раскрывшей авторов Qakbot и Danabot, считают, что, назвав имена главных лидеров банд, они усложняют их работу и препятствуют их въезду и выезду из России". «Сегодняшнее заявление Министерства юстиции направляет четкий сигнал сообществу киберпреступников», - заявил Мэтью Р. Галеотти, глава уголовного отдела Министерства юстиции, 22 мая, когда было объявлено о рейде. «Мы намерены привлечь киберпреступников к ответственности и будем использовать все имеющиеся в нашем распоряжении правовые инструменты для их выявления, судебного преследования, конфискации незаконно нажитых доходов и пресечения их преступной деятельности», - добавил он. «В то время как США и другие страны тратят годы на розыск его и его коллег, Ковалев остается анонимным гражданином и миллионером в Москве, управляющим киберпреступным предприятием».