Волки в овечьих шкурах: киберзащитники оказались подельниками ALPHV BlackCat — грабили тех, кому клялись помогать

В США завершился ещё один громкий эпизод в истории группировки вымогателей ALPHV BlackCat. Федеральный суд принял признательные показания двух американцев, которые ранее работали в сфере кибербезопасности, а затем перешли на сторону вымогателей и участвовали в атаках с использованием этого шифровальщика.

Речь идёт о Райане Голдберге, 40-летнем жителе Джорджии, и Кевине Мартине, 36-летнем жителе Техаса. Оба признали себя виновными ещё в декабре прошлого года в федеральном суде Южного округа Флориды, а теперь их признания официально утверждены. Ранее Голдберг занимал руководящую позицию в команде реагирования на инциденты в израильской компании Sygnia, а Мартин работал переговорщиком по вымогательским атакам в американской DigitalMint.

По данным ФБР, именно эти двое стояли за атакой на производителя медицинского оборудования в 2023 году. Тогда злоумышленники использовали шифровальщик ALPHV BlackCat и потребовали выкуп в размере 1,2 миллиона долларов. Следствие утверждает, что это был не единичный эпизод. В период с апреля по декабрь 2023 года группа, в которую входили Голдберг и Мартин, успешно развернула вымогательское ПО против нескольких компаний на территории США. В деле также фигурирует третий участник, ранее работавший в DigitalMint, однако обвинения ему предъявлены не были.

Помимо удачной атаки на медицинскую компанию, обвиняемые признали участие ещё как минимум в четырёх попытках вымогательства, которые не принесли денег. Среди целей фигурировали фармацевтическая компания из Мэриленда, врачебная практика в Калифорнии с требованием выкупа в 5 миллионов долларов, инженерная фирма из того же штата с запросом на 1 миллион и производитель беспилотников из Вирджинии, от которого пытались получить 300 тысяч долларов.

Американские власти отдельно подчёркивают, что оба обвиняемых использовали профессиональные навыки, полученные на легальной работе. Их опыт в реагировании на инциденты и переговорах с вымогателями помогал им эффективно внедрять вредоносное ПО и вести атаки, с которыми они по долгу службы раньше должны были бороться. И Sygnia, и DigitalMint заявили, что больше не сотрудничают с этими людьми и оказывают содействие следствию.

Как установили следователи, атаки проводились в рамках классической схемы ransomware-as-a-service. Группировка ALPHV BlackCat предоставляла партнёрам доступ к своему шифровальщику и инфраструктуре, а взамен получала долю от выкупов. В данном случае обвиняемые договорились перечислять администраторам группировки 20 процентов от каждой полученной суммы. В истории с медицинской компанией 1,2 миллиона долларов были поделены между участниками, после чего деньги отмывались через сложные финансовые цепочки.

Дело разворачивалось на фоне заката самой ALPHV BlackCat. В декабре 2023 года ФБР изъяло их сайт в даркнете, что запустило затяжное противостояние между правоохранителями и группировкой. Спустя год вымогатели внезапно прекратили активность, предварительно получив, по данным властей, около 22 миллионов долларов от атаки на Change Healthcare, подразделение UnitedHealth Group. Эти средства, как утверждается, не были распределены между партнёрами, что породило слухи о так называемом exit scam и возможном ребрендинге группировки.

Неясно, относились ли Голдберг и Мартин к числу тех самых «брошенных» партнёров. Известно лишь, что за время существования ALPHV BlackCat её атаки затронули более тысячи организаций по всему миру, а ФБР в какой-то момент даже объявляло награду в 15 миллионов долларов за информацию о ключевых участниках группировки.

Оба обвиняемых признали вину по статье о сговоре с целью вымогательства с вмешательством в межштатную торговлю. Максимальное наказание по ней составляет до 20 лет лишения свободы и штраф до 250 тысяч долларов. Приговор будет вынесен 12 марта 2026 года.

В рамках операции против ALPHV BlackCat ФБР также выпустило бесплатный дешифратор, который помог как минимум пятистам пострадавшим организациям восстановить данные и избежать выплаты десятков миллионов долларов выкупа.