Как ФБР ловит российских преступников?

Привет, дорогие любители теневых схем и грязных денег!

На этой неделе стало известно о приговоре 27-летнему жителю Санкт-Петербурга Алексею Волкову. Сообщники знали Волкова под никнеймами Chubaka.kor и nets. Волков получал доступ к корпоративным сетям американских компаний и передавал его русскоязычным сообщникам — операторам вирусов-шифровальщиков (например, вируса Yanluowang). После атаки хакеры вымогали у жертвы выкуп, а Алексей получал с него процент. 

Волков признал (https://www.justice.gov/opa/pr/russian-citizen-sentenced-prison-hacking-us-companies-and-enabling-major-cybercrime-groups) свою вину и даже пообещал выплатить жертвам компенсацию на общую сумму более $9 млн. Ему дали 81 месяц тюрьмы. 

Рассказываем, что нам удалось узнать о Волкове, как его нашли ФБР и сколько можно заработать, продавая шифровальщикам доступ к закрытым сетям.

👤Личность осуждённого

Волков — уроженец небольшого посёлка Тыр в Хабаровском крае, переехал в Санкт-Петербург не позднее 2019 года. Предположительно, к тому моменту 19-летний Волков уже мог зарабатывать на взломах. Во всяком случае, по Санкт-Петербургу он передвигался на новом Mercedes-Benz E-класса и жил в самом центре города — на улице Маяковского. 

В начале 2020 года Волков хотел купить военный билет у компании «ПризываНет». Он оставил заявку на получение военника почти за 8 млн рублей, но была ли она оплачена и получил ли он документ — неизвестно. Через неделю после объявления мобилизации в 2022 году Волков покинул Россию через Узбекистан и вернулся только спустя два месяца.

Основные направления поездок Волкова — Доминиканская Республика, Кипр и Мальдивы, куда Волков неоднократно возил свою девушку. На Мальдивах Волков останавливался в пятизвездочном отеле Riu Palace. Дважды он вывозил на Кипр всю свою семью: родителей, сестру и других родственников.

В августе 2023 года его задержали в Риме по запросу США. В Риме Волкова держали в холодной камере с ещё двумя заключёнными, жаловался (https://mid.ru/ru/foreign_policy/humanitarian_cooperation/2063001/) российский МИД. В камере не было обеденного стола, поэтому Волков с сокамерниками ели со стула, сидя на полу.

🕵️Как Волкова нашло ФБР?

Из показаний (https://storage.courtlistener.com/recap/gov.uscourts.insd.225440/gov.uscourts.insd.225440.1.1.pdf) агента ФБР Джеффри Хантера, расследовавшего дело Волкова, можно узнать, как именно его вычислили. Все началось с отслеживания выкупа через крипту. Волков выводил средства через криптобиржу, на которой зарегистрировался лично и под своим настоящим именем и прошел верификацию по паспорту — это и стало его первой ошибкой. Удивлены? Давайте дальше.

После этого ФБР получило ордер на анализ iCloud Волкова. В облачном хранилище оперативники нашли скриншот переписки с предполагаемым сообщником в Jabber (мессенджере на протоколе XMPP, популярном среди хакеров и наркоторговцев), а также логин и пароль от его аккаунта.

Кроме того, ФБР c помощью засвеченных во время взломов IP-адресов вышло на сервер хакеров. Там они обнаружили логи их чатов и похищенные данные. 

💰Сколько платят за взлом?

Всего в деле Волкова фигурируют восемь корпоративных взломов, совершённых с августа 2021 по апрель 2022 года. Хакеры требовали деньги за расшифровку данных - и угрожали опубликовать украденную информацию на сайтах с утечками.

Из восьми компаний выкуп заплатили только две. Сумма выкупа - $500,000 и $1,000,000. Это произошло в конце 2021 года. За первый взлом Волков получил 2.26 BTC ($94,259 по курсу на момент времени), за второй — 3.44 BTC ($162,220).

В апреле 2022 года Волков получил от сообщников аванс в размере $12,061. Из них, по его же словам, $10,000 Волков планировал потратить на работу, а ещё $2,000 — на жизнь в течение пары недель.

Коллаж: фото Алексея Волкова, его логин-пароль в аффидевите.

💙 Илья Шуманов, управляющий партнер расследовательского бюро TriTrace Investigations (http://t.me/tritrace)