Екс-баскетболіст затриманий під час операції проти програм-вимагачів

Головна — News — Екс-баскетболіст затриманий під час операції проти програм-вимагачів

Влада націлилася на транснаціональні злочинні угруповання, що займаються програмами-вимагачами

Правоохоронні органи Європи та Великої Британії затримали п’ятьох осіб — серед них колишній російський професійний баскетболіст, а також підлітки та молоді дорослі, які нібито мають зв’язок з двома окремими операціями програм-вимагачів, що разом охоплюють понад 900 злочинних випадків у всьому світі. Ці скоординовані дії підкреслюють зміну тактик у кібервимаганні та висвітлюють постійні проблеми в міжнародній екстрадиції та цифровій криміналістиці.

Передумови справи

Даніл Касаткін, 26 років, колишній гравець MBA Moscow (VTB United League) та короткочасно в Penn State (2018–19), був затриманий 21 червня в аеропорту Шарля де Голля в Парижі за запитом американських властей. Йому пред’явлено обвинувачення у змові з метою скоєння комп’ютерного шахрайства, оскільки його звинувачують у веденні переговорів щодо виплат за програмами-вимагачами від імені угруповання, яке відповідальне за майже 900 інцидентів з 2022 року.

У Великій Британії Національна кримінальна агенція (NCA) затримала чотирьох підозрюваних — двох 19-річних чоловіків, 17-річного неповнолітнього та 20-річну жінку, які нібито мають зв’язок з колективом Scattered Spider. Цю групу підозрюють у скоєнні нещодавніх атак на великі роздрібні та сервісні бренди, такі як M&S, Co-op і Harrods, використовуючи складні методи соціальної інженерії та голосового фішингу.

“Він абсолютно нічого не зробив. Він не вміє працювати з комп’ютерами і навіть не може встановити додаток,” — заявив адвокат Касаткіна. “Він купив вживаний комп’ютер, який або був зламаний, або проданий йому під виглядом фальшивої особистості.”

Технічний аналіз операцій програм-вимагачів

Обидва угруповання використовують сучасні методи шифрування та затемнення для уникнення виявлення:

Алгоритми шифрування: Аналіз відновлених виконуваних файлів показує використання гібридного шифрування RSA-4096/AES-256, де сеансові ключі шифруються за допомогою публічного RSA-ключа, збереженого в бінарному коді шкідливого ПЗ. Це робить відновлення файлів без приватного ключа практично неможливим.

Інфраструктура командування та контролю: Оператори використовують приховані сервіси Tor для зв’язку та розміщують сервери в Східній Європі. Нещодавнє блокування глобальним безпековим консорціумом призвело до зупинки щонайменше п’яти активних командних серверів у травні 2025 року.

Початкові вектори доступу: Scattered Spider відомий своїми атаками голосового фішингу, спрямованими на співробітників служби підтримки. Вони підробляють внутрішні ідентифікатори абонентів та використовують голоси, створені на базі OpenAI, щоб обманути працівників і отримати від них дані для доступу до VPN та токени віддаленого доступу.

Юридичні та екстрадиційні виклики

Затримання Касаткіна відбулося за американським ордером, поданим у Північному окрузі Каліфорнії. Екстрадиція вимагає попереднього арешту відповідно до рамок Європейського ордеру на арешт, після чого відбувається передача до американських маршалів. Цей процес зазвичай триває від 6 до 12 місяців, протягом яких адвокати можуть оскаржувати допустимість доказів, включаючи звіти з цифрової криміналістики та ланцюг зберігання вилученого обладнання.

Думки експертів

“Ця справа підкреслює розмиту межу між злочинними геніями та неусвідомленими посередниками,” — зазначає доктор Олена Россі, старший дослідник Європейського центру боротьби з кіберзлочинністю. “Ми спостерігаємо все більше випадків, коли легітимні постачальники послуг або покупці вживаного обладнання потрапляють у складні атаки на ланцюги постачання.”

Вплив на безпеку підприємств

Організаціям необхідно адаптуватися в трьох ключових сферах:

Доступ до мережі з нульовим довір’ям: Впроваджувати автентифікацію за сесією та дотримуватись принципів мінімальних привілеїв для віддалених з’єднань, щоб зменшити ризик бокового переміщення у випадку компрометації облікових даних.

Обмін інформацією про загрози: Приєднуватися до спільнот обміну інформацією (наприклад, FS-ISAC, CTI League), щоб отримувати в режимі реального часу індикатори компрометації (IOC) та правила YARA для нових сімейств програм-вимагачів.

Навчання працівників та симуляції: Проводити регулярні тренування з соціальної інженерії, включаючи симуляції голосового фішингу, які відтворюють тактики Scattered Spider, щоб підвищити обізнаність і зменшити людські помилки.

Додаткові розділи для глибшого аналізу

1. Ризики ланцюга постачання у вживаному обладнанні

Кіберзлочинці все частіше вбудовують шкідливе ПЗ у вживані ноутбуки, що продаються на ринках перепродажу. Нещодавнє дослідження компанії Kaspersky виявило, що один з 50 відновлених одиниць містив попередньо встановлені трояни для віддаленого доступу. Підприємства, які купують обладнання, повинні вимагати процедури безпечного видалення даних та перевірки цілісності BIOS/прошивки.

2. Контрзаходи нового покоління

Нові рішення включають платформи Secure Access Service Edge (SASE), які інтегрують хмарні фаєрволи, SSO та аналітику поведінки в реальному часі. Моделі машинного навчання, навчальні виявляти аномальні патерни ін’єкцій пам’яті, можуть виявляти навантаження програм-вимагачів до того, як запустяться процедури шифрування.

3. Шлях уперед для кіберзаконодавства

Політики готують поправки до Будапештської конвенції про кіберзлочинність для спрощення збору доказів через кордон. Запропоновані зміни спрямовані на скорочення бюрократичних затримок у договорах про правову допомогу (MLAT) та надання повноважень для тимчасових заходів збереження даних у хмарі.