Эксперты выудили у операторов REvil подробности об обналичивании выкупа

Миллионные депозиты и «свои люди» на криптовалютных биржах – эти и другие подробности о деятельности операторов вымогательского ПО удалось узнать сотрудникам CyberNews в ходе беседы с человеком, связанным с группировками Ragnar Locker и REvil.

Исследователи безопасности регулярно посещают хакерские форумы для сбора информации о киберугрозах, и сотрудники CyberNews не являются исключением. Тем не менее, они и предположить не могли, чем закончится одно из таких посещений.

В июне 2020 года исследователи собирали данные на популярном хакерском форуме и наткнулись на неожиданную рекламу – нашумевшая кибервымогательская группировка REvil объявила о поиске участников для своей «партнерской программы». Исследователи сразу же ухватились за такую возможность, подали заявку, прикинувших киберпреступником из России, и вскоре им пришло приглашение на собеседование в закрытый чат qTox. Там они познакомились с киберпреступниками, проводившими операции с вымогательским ПО в течение более десяти лет.

Группировка REvil в настоящее время является одной из самых опасных в мире. Именно она начала первой использовать тактику двойного вымогательства – если жертва отказывалась платить за восстановление зашифрованных REvil файлов, группировка угрожала опубликовать похищенные у нее конфиденциальные данные.

В рекламе на форуме группировка обещала участникам «партнерской программы» 70-80% от суммы заплаченного жертвами выкупа, довольствуясь скромными 20%. Это слишком щедрое предложение могло вызвать подозрения у потенциальных партнеров, поэтому, для того чтобы доказать его подлинность, REvil внесла на свой форумный кошелек депозит в размере $1 млн (в биткойнах).

Вопросы о соответствующих навыках и опыте были лишь частью собеседования. Обязательным требованием для потенциального партнера было владение русским языком. Человек, проводивший собеседование, задавал исследователям общие вопросы на знание истории России и Украины, а также народного/уличного фольклора, который «нельзя загуглить».

Как выяснилось в ходе собеседования, группировка состоит из четырех участников, и им не хватает пятого. Пятый участник должен уметь работать с инструментом Cobalt Strike, использующимся вымогателями после взлома атакуемой системы.

Крупнейший выкуп, который удалось получить группировке, составляет $18 млн. Из них разработчик вымогательского ПО получил 30%, а остальное разделили между собой участники группировки (по $2,5 млн «на брата»).

У киберпреступников есть связи среди сотрудников криптовалютных бирж, помогающие им сохранять инкогнито, менять полученные в качестве выкупа биткойны на доллары и даже отмывать их. По словам человека, проводившего собеседование, партнер должен открыть счет в указанной криптовалютной бирже и вносить туда полученный от жертв выкуп. Он также рекомендовал конвертировать в доллары не всю сумму сразу, а «маленькими» частями не более $1 млн, иначе резкий выброс биткойнов на рынок может повлиять на их курс и вызвать негодование среди сообщества.

Когда криптовалюта уже переведена в доллары, «свой человек» на бирже (за 4% комиссионных) обналичивает средства и передает по нужному адресу. Что интересно, забирать сразу все наличные также не рекомендуется. Лучше всего получать деньги небольшими пакетами по $1 млн, тогда их вес не превысит 10 кг и не будет представлять опасность и доставлять неудобства курьеру.