SugarLocker: как разработчики сайтов превратились в международных преступников

Российские правоохранительные органы совместно со специалистами компании F.A.C.C.T. арестовали членов киберпреступной группировки SugarLocker. Группа маскировалась под легитимную IT-компанию Shtazi-IT, предлагающую разработку лендингов, мобильных приложений, скриптов, парсеров и интернет-магазинов.

Следствие выявило, что программа-вымогатель SugarLocker (Encoded01), была создана в начале 2021 года, но изначально не использовалась активно. В ноябре того же года пользователь под псевдонимом «GustaveDore» на подпольном форуме RAMP представил партнерскую программу по модели Ransomware-as-a-Service (RaaS), призывая к сотрудничеству для использования шифровальщика SugarLocker.

В объявлении указывалось, что группировка проникает в сети жертв через RDP (Remote Desktop Protocol) и предлагает партнерам 70% дохода, оставляя 30% для SugarLocker. При доходе свыше $5 млн распределение прибыли изменяется на 90% в пользу партнера и 10% для SugarLocker.

Успех операции частично обусловлен обнаружением инфраструктуры вредоносного ПО на российских хостингах. Проникновение на панель управления SugarLocker стало возможным благодаря ошибке в конфигурации веб-сервера, что позволило установить личности операторов программы. Расследование привело к выявлению нескольких лиц, занимавшихся не только продвижением своего шифровальщика, но и разработкой на заказ вредоносного ПО, созданием фишинговых сайтов и привлечением трафика к мошенническим схемам.

В январе 2024 года трое членов группы были арестованы. При обыске были найдены ноутбуки, мобильные телефоны и другие доказательства незаконной деятельности. Один из задержанных, 34-летний Александр Ермаков, известен под псевдонимами blade_runner, GistaveDore, GustaveDore и JimJones. Ранее стало известно, что Ермаков стоял за атаками на Medibank Private, в результате которых были раскрыты личные данные почти 10 млн. австралийцев. В ответ на это австралийское правительство впервые начала наступательную операцию против киберпреступников..

Фигурантам дела предъявлены обвинения по статье 273 УК РФ «Создание, использование и распространение вредоносных компьютерных программ», подразумевающей наказание в виде лишения свободы на срок до 7 лет. В настоящее время продолжается следствие.