Слив засчитан
Image

Слив засчитан

Твои данные уже на прилавке даркнета, пока ты слепо веришь в надежность своей двухфакторки. 

Французское правосудие против русской флешки с секретами. Главное о деле загадочного Ильи Д.

leer en español

Phobos Илья Д. Марина Д. Париж ZDNet Le Monde вымогательское ПО
Французское правосудие против русской флешки с секретами. Главное о деле загадочного Ильи Д.
Phobos Илья Д. Марина Д. Париж ZDNet Le Monde вымогательское ПО

Всего одна неосторожная переписка разрушила теневую IT-империю.

image

Во Франции началось разбирательство по делу, которое показывает, как устроен рынок вымогательского ПО с распределением ролей, правилами для участников и отлаженными схемами вывода денег.

В Париже стартовал процесс над 39-летним россиянином Ильёй Д., которого следствие считает одним из активных участников схемы Phobos в 2019–2022 годах. По версии обвинения, он действовал как «аффилиат» и использовал арендованную вредоносную инфраструктуру для атак, а его спутница Марина Д. могла помогать с отмыванием средств. Пара была задержана в Милане в августе 2023 года, и лишь спустя более двух лет дело дошло до французского суда.

Расследование, которым занималась бригада по борьбе с киберпреступностью, связывает фигурантов с атаками на десятки организаций. Во Франции по линии этого дела выявили 65 пострадавших, общий ущерб оценили более чем в 900 000 евро.

Ключевым эпизодом стали материалы, найденные на USB-накопителе. В документе, который следователи описывают как подобие журнала активности, с 2016 года фиксировались многочисленные атаки, сначала с использованием CryptoMix, затем вымогательского ПО Phobos. Там же были заметки о типовой схеме действий, включая покупку списков доступов к уже скомпрометированным системам, подбор паролей и массовое использование уязвимостей.

Отдельная папка, по данным следствия, содержала доступы к панели аффилиата, образцы вредоносных файлов и инструкции. В этих материалах, как утверждается, отдельно оговаривался запрет на атаки организаций из РФ и стран бывшего СССР.

Следствие также восстановило логику распределения выкупов. Переписка с пользователем «Syndicate», которого считают связанным с разработкой Phobos, указывает на долю в 30% в пользу администратора. В единственном зафиксированном случае, когда французская жертва заплатила, атакующий почти сразу перевёл 300 долларов третьей стороне, что следователи связывают со стоимостью инструмента расшифровки, получаемого аффилиатом от администратора.

В материалах фигурируют и контакты с пользователем «Seva», которого следствие называет «обнальщиком». За десятилетие в переписке обсуждались операции на суммы около 63 млн рублей, 284 биткоина и 185 000 долларов, что создаёт картину устойчивого теневого бизнеса.

Илья Д. вину не признал и заявил, что компрометирующие файлы могли появиться из-за взлома его устройств. Решение по делу суд должен огласить 19 февраля.