США и Британия ввели санкции против Дмитрия Хорошева

США, Великобритания и Австралия ввели санкции в отношении россиянина Дмитрия Хорошева, назвав его лидером хакерской группировки LockBit. Об этом сообщили в пресс-службе американского Минфина.

«США внесли в санкционный список Дмитрия Юрьевича Хорошева, гражданина России и лидера базирующейся в России LockBit group, за его роль в разработке и распространении программы-вымогателя LockBit», — говорится в сообщении ведомства. В Минфине добавили, что аналогичные меры в отношении Хорошева приняли Великобритания и Австралия.

Также Госдеп США объявил о награде в размере до $10 млн за информацию, которая приведет к идентификации или местонахождению ключевых руководителей группировки LockBit и тех, кто участвует в ее деятельности.

Группировка LockBit получила известность в 2021 году. Она использует одноименную программу-вымогатель, которая шифрует файлы на компьютерах своих жертв и требует оплаты разблокировки. Подобным хакерским атакам подвергались в том числе американское подразделение Industrial & Commercial Bank of China Ltd., британская почта и компания Boeing.

В феврале Bloomberg писал о взломе инфраструктуры LockBit, в том числе сайтов, которые группировка использовала для платежей с помощью программ-вымогателей. [...]

В 2023 году в США был арестован 20-летний Руслан Астамиров из Чечни по делу LockBit. Он стал третьим гражданином России, обвиняемым в причастности к подобным кибератакам. Ранее в Канаде был задержан Михаил Васильев, а Госдеп США объявил в розыск Михаила Матвеева.

"ФБР обвинило воронежца в создании крупнейшей экосистемы вирусов-вымогателей": Следствие насчитало около 2,5 тысяч жертв LockBit по всему миру, из них 1800 — в США. Это не только больницы и госорганы — чаще всего LockBit атаковал компании, которые могли заплатить большой выкуп. Например, в 2023 году группировка зашифровала данные британской почтовой службы (Royal Mail) и компании Boeing. В ноябре 2023 года атака на крупнейший в мире банк (китайский ICBC) нарушила торги облигациями США. В случае, когда жертвы отказывались платить выкуп, украденные у них данные (финансовые, данные сотрудников или информация о производстве) публиковались на сайте, посвященном жертвам хакеров. Всего, по данным ФБР, члены группировки смогли заставить своих жертв заплатить около $500 млн, из которых 20% — около 100 млн — получил лично Хорошев.

LockBit, как и другие группировки-вымогатели, прочно ассоциируется у исследователей и правоохранительных органов с российскими хакерами. LockBitSupp, общается на русском языке и чаще всего делает это на старейшем русскоязычном хакерском форуме XSS. Компании на территории бывшего СНГ как правило не страдали от атак вымогателей. Во-первых, запрет «работать по СНГ» был прописан в правилах для новых членов группы (так называемых аффилиатов). Во-вторых, в самом коде вируса была прописана проверка языка атакуемой системы. Если это был русский, украинский, грузинский, казахский, армянский, кыргызский, таджикский, туркменский, узбекский или азербайджанский язык — вне зависимости от алфавита — атака на серверы не производилась. Тем не менее, в обвинительном заключении ФБР указано, что под атаки LockBit всё же попадали и российские компании.

Департамент Юстиции США опубликовал персональные данные россиянина, которого считает основателем LockBit. Как выяснил The Insider, Хорошев живет в Воронеже, ему 31 год, он работал или учился в Воронежском институте высоких технологий. В 2021 году основал ООО «Тканер», которое должно было заниматься розничной торговлей по почте или в интернете. Однако уже через год компанию закрыла налоговая, так как основатель предоставил ей фальшивые сведения о компании. На почту Хорошева также зарегистрирован одноименный сайт о тканях. Также в 2021 году Хорошев основал туристическую компанию «Випгео». Ездит по Воронежу он на Mazda 6 и внедорожнике Mercedes-Benz GLE и живет в обычной новостройке в спальном районе города. [...]

В обвинительном акте, который был опубликован 7 мая, говорится, что [...] Хорошев вышел на связь с ФБР и «предложил свои услуги в обмен на информацию о личностях его конкурентов».

«Хорошев в этой переписке попросил правоохранителей, не в конкретных выражениях, “предоставить имена“ своих врагов», — говорится в акте.

Российские хакеры, разыскиваемые США

Марина Совина

Хорошев — не единственный хакер из России, за помощь в поимке которого в США пообещали награду. В мае прошлого года Министерство юстиции США объявило в розыск известного российского хакера Михаила Матвеева, а Госдеп назначил награду в 10 миллионов долларов за информацию, которая помогла бы его поймать. Его подозревают в связях сразу с тремя киберпреступными группировками (Babuk, LockBit и Hive). Все они управляли программами-вымогателями, которыми заражали системы жертв (как правило, крупных компаний), блокировали доступ к ним, после чего требовали выкуп за разблокировку.

При этом в США обвинили Россию в том, что страна стала «безопасной гаванью» для киберпреступников: уже больше года Матвеев не скрывает своего лица и не отрицает связи с крупнейшими группировками «русских хакеров».

В июне того же года в США арестовали гражданина России Руслана Астамирова по обвинению в причастности к кибервымогательствам. Как отметили в Минюсте, 20-летний Астамиров осуществил по меньшей мере пять хакерских атак в США и других странах с применением вредоносной программы LockBit.

Ранее американский Минюст предъявил официальные обвинения в мошенничестве и отмывании денег Денису Кулькову и пообещал тем, кто поспособствует его аресту, аналогичную награду. Следователи считают его основателем сервиса Try2Check, с помощью которого можно было проверять валидность украденных кредитных карт.

Другим известным фигурантом списка стал Евгений Полянин, которого в США считают одним из лидеров разгромленной в начале 2021 года группировки REvil. Американские следователи считают его причастным к вымогательству более 13 миллионов долларов.

Кроме того, американские журналисты рассекретили одного из самых известных русских хакеров. Сотрудники авторитетного американского издания Wired полтора года изучали крупную утечку данных из недр хакерской группировки Trickbot, которую на Западе традиционно ассоциируют с Россией и даже напрямую с Кремлем. В результате расследования они пришли к мнению, что лидером группировки является 41-летней Максим Галочкин из Абакана, который якобы скрывается под ником Bentley.