Министерство юстиции США сообщило о конфискации более 2,8 млн долларов в криптовалюте у предполагаемого оператора вымогательской малвари Zeppelin Яниса Александровича Антропенко.

В штате Техасе Антропенко предъявлены обвинения в компьютерном мошенничестве и отмывании денег, и его подозревают в связи с шифровальщиком Zeppelin — ныне несуществующей малварью, которая была активна с 2019 по 2022 год.

«Антропенко использовал вымогатель Zeppelin для атак на широкий круг лиц, компаний и организаций по всему миру, включая США, — говорится в официальном заявлении Минюста. — В частности, Антропенко и его сообщники шифровали и похищали данные жертв, обычно требуя выкуп за расшифровку данных, а также отказ от публикации и удаление [украденной информации]».

Сообщается, что после получения выкупов Антропенко пытался отмыть средства через криптовалютный миксер-сервис ChipMixer, который был закрыт правоохранительными органами еще в марте 2023 года.

Среди других способов отмывания денег, которые использовал подозреваемый: обмен криптовалют на наличные и структурированные депозиты, то есть разбивка крупных сумм на более мелкие вклады, чтобы обойти правила банковской отчетности.

Помимо конфискации цифровых активов на общую сумму 2,8 млн долларов США, власти также изъяли у Антропенко 70 000 долларов США наличными и люксовый автомобиль.

Напомним, что вымогатель Zeppelin появился в конце 2019 года и представлял собой новый вариант малвари VegaLocker/Buran. Вредонос атаковал медицинские и ИТ-компании в Европе и Северной Америке через уязвимости в ПО MSP-провайдеров.

При этом шифровальщик не работал на машинах в России, Украине и странах СНГ, включая Казахстан и Беларусь. Это весьма интересный нюанс, так как другие варианты малвари из семейства Vega, также известного под названиями VegaLocker и Buran, были ориентированы именно на русскоязычных пользователей.

К концу 2022 года активность Zeppelin практически сошла на нет. Тогда стало известно, что специалисты ИБ-компании Unit221b несколько лет помогали компаниям, пострадавшим от атак Zeppelin. Дело в том, что экспертам удалось обнаружить в шифровальщике ряд уязвимостей, которые были использованы для создания работающего дешифратора.

В результате в январе 2024 года специалисты KELA сообщили, что исходный код вымогателя Zeppelin и взломанная версия билдера продаются на хакерском форуме всего за 500 долларов.