Троих россиян обвинили в США в организации хостинга для вымогателей

Изображение: recraft
Прокуратура США предъявила обвинения троим гражданам России, связав их с сервисами Media Land и ML.Cloud. Следствие считает эту инфраструктуру опорой для операторов программ-вымогателей, фишинговых площадок и ботнетов, а совокупный ущерб от поддержанных через неё атак превысил 62 млн долларов. В деле фигурируют Александр Волосовик, Юлия Панкова и Кирилл Затолокин, каждому из которых приписана отдельная роль в бизнесе так называемого пуленепробиваемого хостинга.
BPH-сервис живёт по логике, противоположной обычному провайдеру. Клиент платит повышенную ставку и рассчитывает, что сервер не отключат после первой жалобы пострадавшей компании. Операторы вымогателей размещают там панели управления, сайты для переговоров с жертвами и загрузчики вредоносного кода. Фишинговые группы поднимают поддельные страницы банков и криптосервисов, владельцы ботнетов держат командные серверы для управления заражёнными устройствами.
По версии следствия, инфраструктура Media Land и ML.Cloud выходила далеко за пределы России. Серверы находились в нескольких странах, что позволяло клиентам:
- перемещать ресурсы после блокировки одного узла;
- выбирать площадку ближе к целевой аудитории;
- усложнять межгосударственные запросы правоохранителей;
- быстро запускать копии серверов на новой площадке;
- растягивать время до реального отключения.
Александр Волосовик, согласно обвинительному заключению, управлял Media Land и на подпольных форумах действовал под псевдонимом «Ялишанда». Через эти площадки, как считает следствие, рекламировались тарифы и принимались обращения клиентов. Для теневого хостинга репутация владельца стоит дорого — заказчик платит за уверенность, что после оплаты сервер не исчезнет и провайдер не передаст данные при первом запросе извне.
Отмечается, что подпольные форумы работают почти как отраслевые площадки с отзывами — участники обсуждают скорость поддержки и устойчивость серверов к жалобам.
Юлию Панкову американские следователи связали с ML.Cloud и юридическо-финансовой частью бизнеса. Для международной инфраструктуры нужны компании, договоры, аренда площадок и отношения с поставщиками оборудования. Панкова, по версии обвинения, отвечала за ту часть, которая связывала теневых клиентов с внешне обычной коммерческой деятельностью — через посредников, криптовалюту и подставные компании.
Кириллу Затолокину приписали сбор платежей от клиентов. Эта работа находится в самом чувствительном месте теневого бизнеса. Сервер можно перенести, домен заменить, программное обеспечение переписать, а денежные следы часто сохраняются дольше. Затолокин, по версии обвинения, координировал поступления, продлевал аренду и распределял средства между владельцами серверов.
Ещё в ноябре США, Великобритания и Австралия ввели ограничения против всех трёх фигурантов, Media Land и ML.Cloud. Тогда власти связали площадки с работой сразу нескольких известных группировок:
- LockBit;
- BlackSuit;
- Play;
- операторы фишинговых кампаний;
- владельцы ботнетов для DDoS-атак.
Управление по контролю за иностранными активами Минфина США заявляло, что серверы Media Land применялись при DDoS-операциях против американских организаций, в том числе объектов критической инфраструктуры и телекоммуникационных систем. Атака на связь способна затронуть банки, экстренные службы и корпоративные платформы одновременно.
Стоит обратить внимание, что жертвы связанных с делом атак находились в Огайо и ещё двадцати штатах — среди них банки, школы, государственные учреждения, больницы и медиакомпании.
Для российских пользователей и организаций эта ситуация тоже несёт прямые риски. Инфраструктура BPH-сервисов не выбирает жертв по гражданству — размещённые там фишинговые страницы и загрузчики бьют по любым целям, до которых дотягиваются операторы. Российские компании из финансового, промышленного и медицинского сегментов регулярно оказываются в списках пострадавших от тех же LockBit и Play. Утечки корпоративных данных, шифрование серверов и остановка производств происходят по одному и тому же сценарию, где бы ни находились операторы атаки.
Дополнительный риск связан с тем, что публичные санкции и обвинения против конкретных людей могут спровоцировать миграцию клиентов на новые теневые площадки. Часть таких площадок уже сейчас переориентируется на русскоязычную аудиторию — предлагает услуги через закрытые чаты, telegram-каналы и обменники криптовалюты. Российские пользователи, попадающие на такие ресурсы через рекламу или взломанные аккаунты, рискуют потерять деньги, доступы и персональные сведения.
Госдепартамент США объявил вознаграждение до 10 млн долларов в рамках программы Rewards for Justice за информацию о людях, связанных с Media Land, ML.Cloud и вредоносными кибероперациями. В сообщении программы упоминается и возможность переселения для информаторов. Совет Евросоюза добавил Media Land, ML.Cloud и Александра Волосовика в санкционные списки — с блокировкой активов, ограничением поездок и запретом финансовых операций в соответствующих юрисдикциях.
Технические данные помогают увидеть серверы, адреса и домены, но для доказательства ролей конкретных людей нужны переписка, финансовые документы и внутренние сведения. Информатор может предоставить данные о клиентах, способах оплаты и расположении оборудования. Такая информация способна связать хакерскую группировку с определённым сервером и показать, кто принимал решение игнорировать жалобы.
Обвинение ещё не означает доказанную вину. Позиция американской прокуратуры должна быть подтверждена судом. Следствию предстоит показать, знали ли обвиняемые о назначении серверов, как отвечали на запросы и оказывали ли клиентам специальную поддержку. Роль сыграют внутренние сообщения, платежи и переписка с операторами вымогателей.
По этому поводу редакция CISOCLUB считает, что дело против предполагаемых владельцев Media Land и ML.Cloud отражает смену подхода правоохранителей к киберпреступности. Удар наносится уже не только по авторам вредоносов, но и по сервисной прослойке — тем, кто принимает платежи, арендует серверы и решает юридические вопросы.
Для российского рынка кибербезопасности это повод внимательнее смотреть на подрядчиков хостинга, платёжных посредников и облачные сервисы, через которые проходит корпоративный трафик. Экспертная редакция CISOCLUB полагает, что подобные расследования будут повторяться и в других юрисдикциях, а компаниям стоит заранее выстраивать процессы проверки контрагентов. Ждать, пока санкционные списки и уголовные дела сами очистят рынок, — стратегия слабая и заведомо проигрышная.



