Госдепартамент США объявил вознаграждение до 10 миллионов долларов за любую информацию, которая поможет установить личности или местонахождение создателей и распространителей вредоносного ПО RedLine . Это одна из самых известных программ для кражи персональных данных, активно использующаяся в атаках на частных лиц, корпорации и критически важную инфраструктуру по всему миру.
По данным Rewards for Justice — программы Госдепартамента, созданной для борьбы с международной преступностью и терроризмом, — особый интерес представляют не только разработчики RedLine, но и их партнёры, обслуживающие инфраструктуру монетизации украденных данных. Сообщения об их деятельности принимаются через анонимный Tor-канал, позволяющий информаторам сохранить конфиденциальность.
Сам по себе RedLine — это типичный инфостилер: вредонос, который незаметно внедряется в операционку и собирают чувствительную информацию. В частности, он отслеживает и крадёт логины и пароли, данные банковских карт, содержимое криптокошельков, информацию о системе, установленные приложения, куки и данные автозаполнения браузеров. Полученные «логи» (как их называют в теневом сообществе) затем продаются на даркнет-форумах или используются напрямую для взлома аккаунтов и финансовых махинаций.
В бюллетене программы Rewards for Justice подчёркивается, что RedLine применялся самыми разными акторами — от одиночек до организованных группировок. Среди жертв — крупные международные корпорации, государственные учреждения и операторы критической инфраструктуры по всему миру.
Несмотря на масштабы, активное преследование подозреваемых началось сравнительно недавно. В октябре 2024 года состоялась международная операция Magnus — совместное усилие правоохранительных органов сразу нескольких стран, как раз направленное на ликвидацию инфраструктуры, поддерживавшей работу инфостилеров, включая RedLine и другие аналогичные вредоносы.
Тогда было ликвидировано более 1 200 серверов, арестованы несколько аффилированных участников, а также перехвачены ключевые компоненты: серверы лицензирования, исходный код и Telegram-боты, использовавшиеся для поддержки клиентов. Эта акция нанесла ощутимый удар по RedLine как сервису, временно нарушив логистику распространения и продажи.
Однако главный разработчик, некий М. Р., остался на свободе. По сведениям американских властей, он родился в Украине в 1999 году, но после начала СВО в 2022 году покинул страну и перебрался в российский Краснодар. Согласно последним данным, с осени прошлого года он по-прежнему проживает в этом городе.
Если его удастся задержать, а затем экстрадировать и доказать вину в суде, ему грозит до 35 лет заключения. В его случае речь идёт не только о разработке инструмента, но и об активном администрировании всей цепочки поставок и получении прибыли от каждого проданного экземпляра или скомпрометированного устройства.
Власти подчёркивают, что инфостилеры уже давно вышли за рамки нишевых инструментов и превратились в массовое оружие цифрового вымогательства, корпоративного шпионажа и атак на индивидуальных пользователей. Они просты в использовании, сравнительно дёшевы и часто приобретаются «в сборке» — с инструкцией, панелью управления и техподдержкой через мессенджеры.
По словам экспертов, Р. до сих пор удаётся избегать ареста, потому что он не просто сменил юрисдикцию, но и обосновался в цифровой экосистеме, где экстрадиция практически невозможна. Его присутствие в стране, не склонной к сотрудничеству с западными спецслужбами, значительно осложняет попытки привлечь его к ответственности.
Эта история отражает более общую динамику: власти всё чаще рассматривают киберпреступность как угрозу, сопоставимую с международным терроризмом. Если раньше разработчик вредоносного ПО мог чувствовать себя в безопасности, скрываясь в другой стране, сегодня даже незначительные улики могут привести к его поимке — при условии, что системы взаимодействия между государствами работают слаженно.