В Армении задержали российского туриста по делу хакеров REvil, но юристы уверены, что это просто тезка

В Армении задержали российского туриста по делу хакеров REvil, но юристы уверены, что это просто тезка

Изображение: Ye Jinghan (unsplash)

Российский турист Александр Юрьевич Ермаков с 28 июня сидит в армянском изоляторе по запросу США об экстрадиции предполагаемого участника вымогательской группировки REvil. Защита настаивает на ошибке идентификации — американские органы ищут Александра Геннадьевича Ермакова, связанного со взломом австралийской Medibank, а под арест попал бывший юрист уголовно-исполнительной системы из Омска с другим отчеством и биографией. Ситуация показывает, насколько уязвимой становится процедура международного розыска, когда автоматика сопоставляет имена без полного набора персональных данных.

Задержание произошло в аэропорту Звартноц, когда мужчина собирался покинуть Армению. Супруга Мария Юрова рассказала телеканалу РЕН ТВ, что пограничники вывели мужа из зоны вылета, показали ему фотографию с личной страницы во «ВКонтакте», а затем сопроводили в отдельное помещение. Через некоторое время выяснилось, что задержание связано с американским ордером и уведомлением Интерпола. Соединённые Штаты считают разыскиваемого одним из операторов Sodinokibi, позднее известной под брендом REvil.

Различия между двумя людьми обозначены достаточно чётко:

  • разыскиваемый США — Александр Геннадьевич Ермаков, 16 мая 1990 года рождения, житель Москвы;
  • задержанный в Ереване — Александр Юрьевич Ермаков, уроженец Омска, работавший юристом в ФСИН;
  • первому предъявлены обвинения по делу REvil и введены санкции Австралии, США и Великобритании;
  • второй, по словам защиты, английским языком не владеет и связей с киберпреступной средой не имеет;
  • в американском санкционном профиле отчество отсутствует, что расширяет круг возможных совпадений.

Отмечается, что личность можно проверить по отпечаткам пальцев, полному набору паспортных данных и биометрическим признакам. Адвокат Дилан Раджави сообщил «Известиям», что защите таких подтверждений пока не представили.

Австралийские власти связывают разыскиваемого Александра Геннадьевича Ермакова со взломом Medibank Private в октябре 2022 года. Тогда преступники похитили сведения примерно о 9,7 миллиона клиентов страховой компании, а часть украденной информации позднее оказалась в даркнете. В санкционных материалах он фигурирует как киберпреступник, предположительно причастный к REvil. Запись Управления по контролю за иностранными активами США содержит имя, фамилию, московскую локацию, дату рождения, пол, электронную почту на «Яндексе» и несколько сетевых псевдонимов — blade_runner, GistaveDore, GustaveDore и JimJones. Отчество в американской базе отсутствует, и защита полагает, что цепочку ошибочной идентификации запустил именно этот пробел.

Российским пользователям стоит учитывать, что подобный сбой международных систем может коснуться любого путешественника с распространённым именем и фамилией. Отсутствие отчества в зарубежных базах превращает даже стандартный пограничный контроль в лотерею.

Согласно американскому обвинительному документу, сведения из которого приводит РИА Новости, разыскиваемому вменяют участие в атаках Sodinokibi и REvil примерно с апреля 2019 года по 12 июля 2021 года. За этот период от деятельности вымогателей могли пострадать свыше 1000 организаций — частные компании, правоохранительные органы, государственные учреждения, образовательные заведения и больницы. Часть атак пришлась на Северный округ Техаса, федеральный суд которого выдал ордер 26 июня, за два дня до задержания. Уведомление Интерпола, содержание которого пересказывают «Известия», приписывает разыскиваемому более заметную роль — одного из администраторов платформы REvil, заработавшего свыше 13,7 миллиона долларов.

Хронология событий выстраивается в довольно абсурдную конструкцию:

  • в октябре 2024 года московский суд назначил разыскиваемому Ермакову 2 года ограничения свободы по части второй статьи 273 УК РФ;
  • осуждённый обязан находиться в России и раз в месяц отмечаться в уголовно-исполнительной инспекции;
  • в январе 2024 года санкции против него ввели Австралия, США и Великобритания;
  • 26 июня 2026 года федеральный суд Северного округа Техаса выдал ордер на арест;
  • 28 июня 2026 года в Ереване задержали его полного тёзку из Омска.

Человек, указанный в расследованиях и санкционных списках, предположительно находится дома под контролем российских органов, а под экстрадиционный арест за рубежом попал совершенно другой человек с тем же именем и фамилией. Компания Intel 471 после публикации псевдонимов повторно изучила данные с подпольных форумов и обнаружила, что разыскиваемый Александр Геннадьевич Ермаков мог пользоваться никами SHTAZI и shtaziIT. Псевдоним JimJones в 2019 и 2020 годах появлялся на форуме Exploit — его владелец предлагал разработку вредоносных программ и рекламировал команду Shtazi-IT.

Стоит обратить внимание, что американский поставщик киберразведки и российское МВД вышли на одну и ту же инфраструктуру с разных сторон. Сетевые псевдонимы, объявления на форумах, контакты разработчиков и деятельность SugarLocker постепенно сложились в единую цепочку.

Александр Юрьевич Ермаков помещён под стражу на 30 суток в соответствии с уведомлением Интерпола. Российские дипломаты запросили у Еревана консульский доступ. Семья опасается, что мужчину могут отправить в США до полного выяснения личности — если экстрадиция состоится, туриста этапируют в Даллас. Для российских граждан, регулярно выезжающих за рубеж, это дело служит предупреждением о рисках автоматизированной пограничной проверки, особенно при совпадении имени и фамилии с фигурантом международных санкционных списков.

Основные факторы, повышающие вероятность ошибочного срабатывания:

  • неполное заполнение международных карточек без отчества;
  • транслитерация вариантов имени (Aleksandr, Alexander);
  • различия в обработке буквы «ё» в разных базах;
  • распространённость сочетания имени и фамилии;
  • отсутствие сопоставления по биометрии до момента задержания.

По мнению экспертной редакции CISOCLUB, дело Ермакова обнажает фундаментальный дефект современной системы международного розыска — избыточное доверие к автоматическому сравнению текстовых полей без обязательной биометрической верификации. Когда санкционный профиль в OFAC не содержит отчества, а внутренние российские документы построены именно на этом различении, ложные совпадения становятся вопросом времени.

Ситуация должна подтолкнуть международные структуры к пересмотру протоколов идентификации, где отпечатки пальцев и фотографический контроль применялись бы до, а не после ареста человека. Для российских путешественников это ещё и напоминание о необходимости заранее оценивать собственные риски при совпадении данных с фигурантами международных розыскных ориентировок. Судебное решение по делу Александра Юрьевича Ермакова станет прецедентом, определяющим, готова ли армянская юстиция признавать биографические различия сильнее алгоритмических совпадений.

Артем
Автор: Артем
Представитель редакции CISOCLUB. Пишу новости, дайджесты, добавляю мероприятия и отчеты.
Комментарии: