Зарплаты в 220.000$ не хватило. Специалист по кибербезу пошел в хакеры BlackCat (и его поймали).

Помогать компаниям расплачиваться с вымогателями выглядит как странный бизнес. Формально ты ведешь переговоры с киберпреступниками и стараешься сбить сумму выкупа, чтобы пострадавшая организация быстрее восстановила работу. По факту ты все равно помогаешь преступникам получать деньги, а значит поддерживаешь их инфраструктуру и делаешь новые атаки более вероятными.

Американское ФБР рассказало о ситуации, когда эта внутренняя дилемма закончилась вполне предсказуемо. Несколько людей, которые работали в сфере реагирования на ransomware и видели изнутри, сколько денег уходит в криптовалюте на выкупы, решили попробовать то же самое сами. Они знали, как устроены современные схемы вымогательства, видели уязвимые компании и понимали, что сейчас существуют программы ransomware-as-a-service, где разработчики предоставляют готовое вредоносное ПО и инфраструктуру, а партнеры ищут жертв и делятся прибылью. В какой-то момент один из таких специалистов, по версии следствия, задался простым вопросом. Почему эти деньги должны получать другие преступники, если я сам могу организовать атаку.

ФБР считает, что так и поступили трое работающих в США специалистов по кибербезопасности. Они перешли на противоположную сторону и начали внедрять вымогательское ПО в сети американских компаний, рассчитывая на быстрый доход. В реальности все вышло не так просто. Получилась только одна успешная выплата. Остальные жертвы платить отказались, а расследование довольно быстро вышло на самих злоумышленников.

В материалах дела фигурирует Кевин Мартин. Он работал в чикагской компании DigitalMint, которая после атак помогает организациям оценивать требования, покупать легальную криптовалюту и безопасно переводить деньги, чтобы как можно скорее выполнить условия вымогателей. По версии ФБР, в 2023 году Мартин решил стать аффилиатом группировки BlackCat. Эта группа известна тем, что предоставляет партнерам готовое шифрующее ПО и площадки в даркнете, а взамен забирает процент с выкупа. Мартин видел эту схему на практике и предложил поучаствовать в ней еще двоим. Одним из них, как утверждают следователи, был Райан Голдберг из Джорджии, который занимался инцидентами в компании Sygnia. Голдберг рассказал агентам, что Мартин позвал его попробовать «поумыкать у компаний».

В мае 2023 года группа выбрала первую жертву. Это была медицинская компания из Тампы во Флориде. В сеть внедрили BlackCat, зашифровали корпоративные данные и запросили 10 миллионов долларов за ключ расшифровки. Компания в итоге согласилась заплатить, но не всю сумму. По данным ФБР, она перевела 1,27 миллиона долларов в криптовалюте. Часть ушла разработчикам BlackCat, остальное разделили между Мартином, Голдбергом и третьим участником, чье имя сейчас не раскрывается.

После этого успеха они попытались повторить схему. В течение 2023 года группа атаковала фармкомпанию в Мэриленде, кабинет врача, инженерную фирму в Калифорнии и производителя беспилотников в Вирджинии. Суммы выкупа менялись. Иногда просили 5 миллионов, иногда 1 миллион, иногда 300 тысяч. Но в отличие от первой жертвы остальные платить отказались. На этом прибыльная часть истории закончилась, а вниманием заинтересовалось ФБР.

К весне 2025 года расследование уже шло полным ходом. В апреле агенты провели обыск у Мартина. После этого, по словам Голдберга, третий участник начал паниковать из-за обыска. В мае Голдберг искал в интернете фамилию Мартина вместе с доменом Минюста США, пытаясь понять, что происходит с делом. 17 июня обыскали и самого Голдберга и забрали устройства. Сначала он отрицал причастность, но позже признался и указал на Мартина как на организатора. Он объяснил, что согласился участвовать в вымогательских атаках, потому что хотел закрыть долги, и очень переживал из-за перспективы «провести остаток жизни в федеральной тюрьме».

Голдберга сразу не арестовали. 24 июня он получил официальное уведомление от прокуратуры, что является фигурантом дела. На следующий день он и его жена купили билеты в Париж в одну сторону. 27 июня они улетели и в момент предъявления обвинений Голдберг уже был в Европе. В сентябре он вернулся в Северную Америку, но не в США. Он прилетел из Амстердама в Мехико, где его задержали и депортировали. Суд посчитал, что он пытался скрыться, поэтому в отличие от Мартина, которого отпустили под залог 400 тысяч долларов, Голдбергу отказали в освобождении до суда. По расчетам суда, если он признает вину, ему может грозить от 78 до 97 месяцев заключения. Если не признает и будет признан виновным, срок может быть больше.

История выглядит особенно нелепо, если учесть, что по данным суда Голдберг и так зарабатывал хорошо, около 214 тысяч долларов в год. После увольнения он лишился этой зарплаты, перестал платить по ипотеке и фактически разрушил нормальную жизнь своей семьи из-за одной удачной операции и нескольких неудачных попыток. Теперь ему и его близким придется долго разбираться с последствиями.