Rublevka Team: как заработать 10 миллионов долларов на чужой невнимательности (и паре Telegram-ботов)

Специалисты обнаружили одну из самых прибыльных схем кражи криптовалюты за последние годы. Сеть под названием Rublevka Team сумела выстроить почти промышленный сервис по опустошению цифровых кошельков и, по оценкам, заработала более 10 млн долларов с 2023 года.

Операцию изучили специалисты Insikt Group*. По их данным, речь идет не о классических вирусах, а о команде трафферов. Это большая сеть исполнителей, которые с помощью социальной инженерии заманивают людей на поддельные сайты. Вместо заражения устройств используется другой прием. Жертве предлагают выгодную акцию, раздачу токенов или бонус, после чего убеждают подключить криптокошелек и подтвердить операцию. В результате средства уходят злоумышленникам.

В основе схемы лежат вредоносные сценарии на языке JavaScript, встроенные в фальшивые страницы. Они маскируются под известные криптосервисы и кошельки. Пользователь видит привычный интерфейс и не подозревает подвоха. После подключения кошелька сайт показывает «служебные» операции, проверки или начисления, но на самом деле формируется перевод всех активов на адреса преступников.

Инфраструктура проекта почти полностью автоматизирована. Партнерам выдают готовые инструменты через боты в Telegram. С их помощью можно создать поддельную страницу, подключить сценарий кражи, настроить обход защитных фильтров и отслеживать результаты. Поддерживается более 90 типов кошельков. Технический порог входа минимальный, поэтому к схеме подключились тысячи исполнителей по всему миру.

Основной упор сейчас делается на блокчейн Solana из-за быстрых и дешевых операций. Чаще всего жертвам предлагают «раздачи» токенов, бонусные начисления или срочную проверку учетной записи. По данным исследователей, в закрытом канале группы с отчетами о доходах опубликовано более 240 тысяч сообщений об успешных списаниях. Суммы в отдельных операциях колеблются от нескольких центов до десятков тысяч долларов.

Доход между организаторами и исполнителями делится по партнерской модели. Новым участникам обещают до 75% от украденных средств, «опытным» до 80%. Аналитики считают, что такие щедрые условия нужны для быстрого роста сети и масштабирования атак.

Для размещения поддельных страниц используется постоянно меняющаяся сеть доменов и поддоменов. Адреса регулярно ротируются, хостинг скрывается за сервисами защиты. Это осложняет блокировку и расследование. Также применяются методы сокрытия содержимого, когда проверяющим системам показывается безобидная версия сайта.

Исследователи отдельно отмечают, что подобные схемы становятся серьезной проблемой для криптобирж и финтех-сервисов. Даже если атака происходит вне их площадок, пользователи связывают потери с известными брендами, под которые маскируются мошенники. Это ведет к жалобам, проверкам и репутационным рискам.

Специалисты ожидают, что модель «кража как сервис» будет быстро распространяться. Готовые инструменты, автоматизация и высокая прибыль делают такие проекты привлекательными для преступников без глубоких технических знаний. Это значит, что число атак на владельцев криптовалюты в ближайшее время продолжит расти.

* подразделение компании Recorded Future, признанной нежелательной организацией в России.