Американские власти сообщили об экстрадиции в США гражданина Украины и Беларуси Максима Сильникова. Его связывают с деятельностью вымогательской группировки Ransom Cartel, распространением эксплоит-кита Angler, а также активностью трояна-вымогателя Reveton, работавшего еще в 2010-х годах.
Правоохранители сообщают, что Сильников был известен под никами J.P. Morgan, xxx и lansky на русскоязычных хак-форумах, где он якобы рекламировал свою киберпреступную деятельность.
Британское Национальное агентство по борьбе с преступностью (NCA) уточняет, что Сильников был арестован в Испании еще 18 июля 2023 года, при этом называя его «элитным и одним из самых известных в мире русскоязычных киберпреступников».
На этой неделе американские власти обнародовали сразу два обвинительных заключения: одно связано с операциями с вредоносной рекламой, а другое с операциями группировки Ransom Cartel. В этих документах также фигурируют имена предполагаемых соучастников Сильникова: 38-летнего гражданина Беларуси и Украины Владимира Кадария и 33-летнего гражданина России Андрея Тарасова, которые якобы тоже были связаны с кампаниями по распространению вредоносной рекламы.
«Предполагается, что эти лица были участниками сговора и много лет занимались распространением вредоносных программ, заразив компьютеры миллионов ничего не подозревающих пользователей интернета по всему миру, — заявили в прокуроре США. — Для работы этой схемы они использовали вредоносную рекламу, или “malvertising”, чтобы обманом вынуждать жертв нажимать на легитимные, на первый взгляд, объявления в интернете».
Как уже было сказано выше, Сильникова связали с группировкой Ransom Cartel, которая появилась в 2021 году и имела немало сходств с известным семейством вымогателей REvil. Согласно обвинительному заключению, Сильников якобы создал и управлял Ransom Cartel, вербуя других киберпреступников с русскоязычных хак-форумов для участия в атаках и партнерской RaaS-программе (Ransomware-as-a-Service, «Вымогатель-как-услуга»).
Также сообщается, что он вел переговоры с брокерами доступов, которые предоставляли хакерам доступ к взломанным корпоративным сетям, организовывал связь с жертвами и управлял выплатами выкупов. Кроме того, Сильников якобы проводил полученные группой выкупы через криптовалютные миксеры, чтобы скрыть денежный след и усложнить работу правоохранительных органов.
Помимо этого, NCA считает, что Сильников стоял за известным в 2010-х годах трояном-вымогателем Reveton. Эта малварь для Windows блокировала доступ пользователя к операционной системе и требовала выкуп за разблокировку.
Вредонос был запущен в далеком 2011 году и обычно запугивал жертв, выдавая себя за правоохранительные органы (в основном Великобритании и США), которые якобы заблокировали компьютер в связи с обнаружением детской порнографии или материалов, защищенных авторским правом. Пострадавшим предлагалось отправить выкуп через MoneyPak, PaySafeCard или другие платежные системы, чтобы восстановить доступ к своей машине.
В период между 2012 и 2014 годами Reveton был продан другим хакерам, которые активно распространяли его через сайты, скомпрометированные с помощью наборов эксплоитов.
По данным NCA, в период с 2011 по 2013 год Reveton принес своим операторам около 400 000 долларов.
Но и это еще не все. Правоохранители считают, что с октября 2013 по март 2022 года Сильников управлял крупномасштабной мошеннической схемой по распространению вредоносной рекламы.
Якобы в его обязанности входила разработка и распространение вредоносных объявлений, которые выглядели безобидными, но в итоге перенаправляли пользователей на сайты, содержащие наборы эксплоитов для Internet Explorer, малварь, scareware и различный скам.
Так, вредоносная реклама распространяла:
- эксплоит-кит Angler, предназначенный для эксплуатации уязвимостей в браузерах и плагинах с целью доставки дополнительных полезных нагрузок на скомпрометированные устройства;
- локеры, представлявшие собой «легкие» версии программ-вымогателей, которые блокировали систему жертвы и требовали выкуп за восстановление доступа к данным;
- scareware, то есть вредоносное или мошенническое ПО, которой обманывало пользователей, предупреждая их о ложных угрозах. Как следует из названия, обычно такие атаки направлены на запугивание людей (например, вредонос сообщает жертве, что на ее машине обнаружено множество вирусов), чтобы вынудить купить фейковое защитное ПО или поделиться конфиденциальной информацией со злоумышленниками.
Считается, что Сильников использовал различные псевдонимы и подставные компании для обмана рекламных платформ и принимал непосредственное участие в продаже доступа к устройствам, которые удавалось скомпрометировать в рамках этой схемы.
Также он якобы участвовал в разработке и обслуживании инфраструктуры, включая TDS (Traffic Distribution System), для более эффективного управления вредоносными кампаниями.
«На пике своей активности Angler отвечал за 40% всех заражений, связанных с наборами эксплоитов, атаковав около 100 000 устройств, а годовой оборот его операторов оценивался примерно в 34 млн долларов», — сообщают в NCA.
Теперь Максиму Сильникову предъявлены обвинения в мошенничестве с использованием электронных средств связи, компьютерном мошенничестве, краже личных данных при отягчающих обстоятельствах, а также мошенничестве с использованием устройств доступа. В случае признания виновным по всем пунктам обвинения, суммарно ему может грозить более 100 лет тюремного заключения.