BYOVD, биткойны и баг, стоивший свободы: как «Робин Гуд» из Ирана оказался в зале суда
Годы тишины, сотни жертв и ни одной ошибки — до сегодняшнего дня.
Гражданин Ирана признал свою вину в участии в одной из самых разрушительных киберкампаний последних лет — операции с вымогательским ПО Robbinhood, целью которой были городские власти, больницы и некоммерческие организации по всей территории США. Атаки длились более пяти лет, и теперь, по решению американского суда, ключевой фигурант может провести за решёткой до 30 лет.
Как следует из материалов Министерства юстиции США и опубликованного обвинительного заключения , 39-летний Сина Голинежад, также известный под псевдонимом «Sina Ghaaf», координировал действия преступной группы, разворачивая шифровальщик Robbinhood в инфицированных системах с января 2019 года по март 2024 года. Его сообщники проникали в сети жертв с помощью учётных записей с правами администратора или через эксплойты, вручную устанавливали вредонос и требовали выкуп в биткоинах.
Среди пострадавших — администрации городов Балтимор, Гринвилл (Северная Каролина), Грешем (Орегон) и Йонкерс (Нью-Йорк), а также организации Meridian Medical Group и Berkshire Farm Center. Злоумышленники не просто шифровали файлы, но и похищали данные, угрожая их утечкой в случае отказа от выкупа. В результате действия Robbinhood парализовали работу IT-сервисов, нарушили предоставление медуслуг и вывели из строя критически важные муниципальные системы.
Широкую известность группировка получила в мае 2019 года, когда её действия обрушили цифровую инфраструктуру Балтимора, заблокировав доступ к электронной почте, системам оплаты штрафов и другим городским сервисам на несколько недель.
Особенность атаки заключалась в применении легитимного, но уязвимого драйвера Gigabyte («gdrv.sys»), через который группа отключала антивирусное ПО на атакуемых машинах . Такая техника, известная как BYOVD (Bring Your Own Vulnerable Driver), позволяла обходить защиту и запускать шифровальщик без вмешательства со стороны систем безопасности.
Для сокрытия следов киберпреступники использовали виртуальные серверы в Европе, VPN и криптомиксеры, затрудняя отслеживание транзакций и маршрутов связи. Все инструкции по выкупу оставлялись в виде записок, направлявших пострадавших на сайты в даркнете.
Теперь, после признания вины в федеральном суде Северной Каролины, Голинежаду грозит до 30 лет лишения свободы за сговор с целью мошенничества, несанкционированного доступа к компьютерам, вымогательства и отмывания денег.