' style='fill:%23c4c4c4;fill-opacity:1'%3E%3Cpath d='M93.28-57.4h2.52l-6.33 11.74h-2.6l6.41-11.75zM98.5-57.4h2.52L94.7-45.67h-2.6l6.4-11.75zM103.78-57.4h2.52l-6.33 11.74h-2.6l6.4-11.75z'/%3E%3C/a%3E%3C/svg%3E)
США ввели санкции против хакерской группировки из России Evil Corp., укравшей $100 млн. Ее создателя связывают с ФСБ
Министерство финансов США ввело санкции в отношении группы хакеров из России Evil Corp, связанных с ней лиц и компаний. Под ограничения попали 17 человек и семь организаций. Ущерб от их действий оценивают более чем в сто миллионов долларов. Основатель группировки, считают американские власти, работал на ФСБ.
Минфин США считает, что члены Evil Corp ответственны за разработку и распространение вируса Dridex. С его помощью хакерам удалось украсть деньги у клиентов как минимум трехсот банков в 40 странах мира, в том числе в США и Великобритании. По данным Минфина, киберперступники незаконно вывели со счетов как минимум сто миллионов долларов, однако в реальности общая их доход гораздо выше.
Evil Corp — название крупнейшей корпорации из сериала «Мистер Робот», ей принадлежит 70% всего рынка потребительского кредитования. Главный герой сериала, которого наняла подпольная хакерская организация, устраивает серию кибератак против Evil Corp.
Минфин утверждает, что «группировка управляется сетью людей из Москвы, которые в течение многих лет устанавливали и развивали доверительные отношения друг с другом». Ее возглавляет 32-летний уроженец Украины Максим Якубец. По данным властей США, с 2017 года Якубец работал на ФСБ России. Он помогал ведомству получать секретные документы и проводил кибератаки по его заказу. Госдеп США объявил вознаграждение в размере пяти миллионов долларов за информацию, которая поможет поймать Якубца.
Якубца связывают с другими хакерами — молдаванином Андреем Гинкулом и россиянином Евгением Богачевым. В 2015 году США предъявили Гинкулу обвинения в связи с атаками вируса Dridex. Богачева считают ответственным за распространение другого масштабного вируса — Zeus.
Еще одним ключевым членом Evil Corp Минфин называет Игоря Турашева. Он выполнял роль администратора и отвечал за разработку Dridex. Группировке содействовал Денис Гусев, который был финансовым посредником Evil Corp и помогал хакерам переезжать в новый офис в 2017 году. По данным Минфина, у Гусева есть паспорта на имя гражданина Израиля Давида Готмана и гражданина Молдавии Марина Поможака.
Гусев — генеральный директор шести российских компаний, которые оказались в санкционном списке: «Бизнес-Столица», «Оптима», «Трейд-Инвест», «ЦАО», «Вертикаль» и «Юником». Деятельность этих организаций напрямую не связана с работой Evil Corp, однако они попали под санкции как подконтрольные Гусеву фирмы.
Также ограничения введены против Дмитрия Смирнова, Артема Якубца, Ивана Тучкова, Андрея Плотницкого, а также Дмитрия и Кирилла Слободских. По данным Минфина, они выполняли в Evil Corp «критически важные логистические, технические и финансовые функции»: участвовали в разработке Dridex, помогали искать новых жертв и отмывать доходы, полученные с помощью вируса.
Еще восемь человек — Алексей Башликов, граждане Украины Руслан Замулко, Татьяна Шевчук, израильтянин Давид Губерман, испанец Карлос Альварес, грек Георгиос Манидис, гражданин Узбекистана Азамат Сафаров и уроженка Таджикистана Гульсара Бурхонова — попали под санкции за оказание финансовой помощи Evil Corp. Они могли быть владельцами сети банковских счетов, через которые хакеры выводили похищенные средства.
Члены Evil Corp распространяли Dridex с помощью массовых рассылок по электронной почте. Вирус активировался после перехода по зараженной ссылке или сохранения прикрепленного к письму файла на компьютер. Dridex получал доступ к личным данным пользователя, после чего хакеры использовали его банковский аккаунт для вывода средств на подконтрольные Evil Corp счета.
Специалисты из «Лаборатории Касперского» отмечали, что вирус существует как минимум с 2011 года. Его отличительная особенность в том, что он постоянно развивается и усложняет свою работу, а старые версии перестают работать после выхода новых. По состоянию на 2017 год почти 60% атак вируса были зафиксированы в Великобритании, чуть меньше — в Германии и Франции. При этом в России Dridex не действует — он определяет местоположение пользователя по IP-адресу и перестает работать на российской территории.
