• [ Регистрация ]Открытая и бесплатная
  • Tg admin@ALPHV_Admin (обязательно подтверждение в ЛС форума)

МВД России с F.A.С.С.T. выследили и задержали вымогателей SugarLocker

admin

admin

#root
Администратор
Регистрация
20.01.2011
Сообщения
7,652
Розыгрыши
0
Реакции
119
Сотрудники МВД России при поддержке специалистов компании F.A.С.С.T., российского разработчика технологий для борьбы с киберпреступлениями, вычислили и задержали участников преступной группы вымогателей SugarLocker. Работали злоумышленники под вывеской легальной IT-фирмы, предлагающей услуги по разработке лендингов, мобильных приложений и интернет-магазинов.

По данным следствия, программа-вымогатель SugarLocker (aka Encoded01) появилась еще в начале 2021 года, но в первое время активно не использовалась. В ноябре того же года на андеграундном форуме RАMР от участника под ником “gustavedore” было опубликовано объявление о запуске партнерской программы по модели RaaS (от англ. Ransomware-as-a-Service, «программа-вымогатель как услуга») и наборе партнёров в группу вымогателей, использовавших шифровальщик SugarLocker. Суть модели RaaS в том, что разработчики продают или сдают в аренду вредоносное ПО своим партнерам для дальнейшего взлома сети и развертывания программ-вымогателей.

В объявлении говорилось, что хакерская группировка атакует цели через сети и RDP — протокол удаленного рабочего стола, не работает по странам СНГ и готова незамедлительно начать работу с партнерами на условиях: 70% от выручки получает партнер, а 30% — SugarLocker. В случае, если доход превысит $5 млн, прибыль будет распределена на более выгодных условиях: 90% на 10%, соответственно.

Финальная гравюра GustaveDore

В начале января 2022 года эксперты F.A.C.C.T. установили, что некоторые элементы инфраструктуры SugarLocker располагались на российских хостингах. Из-за того, что злоумышленники допустили ошибку в конфигурации веб-сервера, удалось обнаружить SugarPanel — панель управления программой-вымогателем.

В ходе расследования были установлено несколько фигурантов, которые не только занимались продвижением своего шифровальщика, но и разрабатывали вредоносное программное обеспечение на заказ, создавали фишинговые сайты интернет-магазинов, нагоняли трафик пользователей на популярные в России и СНГ мошеннические схемы.

Любопытно, что работали злоумышленники под вывеской легальной IT-фирмы Shtazi-IT, предлагающей услуги по разработке лендингов, мобильных приложений, скриптов, парсеров и интернет-магазинов. Компания открыто размещала объявления о найме новых сотрудников — разработчиков, в контактах был указан Telegram-аккаунт все того же GustaveDore. Всю собранную информацию эксперты F.A.C.C.T. передали в полицию — БСТМ МВД России.

В январе 2024 года трое членов группы SugarLocker были задержаны сотрудниками БСТМ МВД России при участии специалистов компании F.A.C.C.T. В ходе обыска у подозреваемых были обнаружены ноутбуки, мобильные телефоны, следы переписки, прочие цифровые улики, подтверждающие их противоправную деятельность. Так, например, после появления в публичном доступе информации об исследованиях нового семейства шифровальщиков SugarLocker, один из фигурантов поделился с соучастниками шуткой “Парни, я в Сибирь, мне точно надо“. И она оказалась пророческой. Среди задержанных оказался и обладатель ник-неймов blade_runner, GistaveDore, GustaveDore, JimJones.

Фигурантам уже предъявлены обвинения по статье 273 УК РФ “Создание, использование и распространение вредоносных компьютерных программ”. Ведётся следствие.

sc: facct.ru/media-center/p...aign=sugarlocker-ransomware&utm_medium=social
Для просмотра ссылки Войди или Зарегистрируйся
 
Суд над хакерами SugarLocker: дело слушается 8 октября.

Создатели вредоносного ПО предстанут перед судом в Москве.

На 8 октября в Пресненском районном суде Москвы назначены заседания по делам Ермакова А.Г. и Ленина М.Б. Оба обвиняемых проходят по статье 273 часть 2 УК РФ — создание, использование или распространение вредоносных компьютерных программ, совершённые группой лиц или организованной группой, либо причинившие крупный ущерб или совершённые из корыстной заинтересованности.

Вероятнее всего, под обвиняемыми подразумеваются Ермаков Александр Геннадьевич и Ленин (Шефель) Михаил Борисович. Предполагается, что данное дело связано с деятельностью группы вымогателей, известной как SugarLocker.

aiy0il54wx9elupl87fkst5ix0deo2b1.png



Ранее в феврале российские правоохранительные органы совместно с компанией F.A.C.C.T. арестовали членов киберпреступной группировки SugarLocker, маскировавшихся под легитимную IT-компанию Shtazi-IT. Группировка предлагала услуги разработки лендингов, мобильных приложений и интернет-магазинов, используя эти платформы для распространения вредоносного ПО. Следствие выявило, что программа-вымогатель SugarLocker (Encoded01), была создана в начале 2021 года, но изначально не использовалась активно. В ноябре того же года пользователь под псевдонимом «GustaveDore» на подпольном форуме **** представил партнерскую программу по модели Ransomware-as-a-Service ( RaaS ), призывая к сотрудничеству для использования шифровальщика SugarLocker.

В объявлении указывалось, что группировка проникает в сети жертв через RDP (Remote Desktop Protocol) и предлагает партнерам 70% дохода, оставляя 30% для SugarLocker. При доходе свыше $5 млн распределение прибыли изменяется на 90% в пользу партнера и 10% для SugarLocker.

В январе 2024 года трое членов группы, включая Александра Ермакова (известного под псевдонимами blade_runner и GustaveDore), были арестованы. Следствие установило, что Ермаков был причастен к атакам на Medibank Private, в результате которых утекли данные 10 млн австралийцев.
 
Приговор по делу SugarLocker

Недавно опубликованный приговор Александру Ермакову открывает новые подробности дела SugarLocker.

Кратко напомню предысторию: примерно год назад Австралия, Великобритания и США наложили санкции на россиянина Александра Ермакова якобы за его причастность ко взлому австралийского страховщика Medibank осенью 2022 года. В феврале F.A.C.C.T. сообщила о своём участии в операции Бюро специальных технических мероприятий МВД по вычислению и задержанию троих участников группы вымогателей SugarLocker, которая работала под вывеской компании Shtazi-IT. Благодаря пресс-релизу выяснилось, что среди задержанных лиц был и Александр Ермаков, попавший под западные санкции. К осени дело дошло до суда. В октябре приговор был вынесен Александру Ермакову, а его коллега Михаил Ленин (Шефель) был признан невменяемым. Однако текст приговора опубликован только сейчас.

Меня, с международной точки зрения, прежде всего интересовало, была ли связь между уголовным преследованием в России и западными санкциями. Спойлер: нет — как минимум в рамках завершённого дела в отношении Ермакова.

Суд признал Ермакова виновным по ч. 2 ст. 273 УК РФ (создание, использование и распространение вредоносных компьютерных программ; совершённое группой лиц) и в качестве наказания назначил ему два года ограничения свободы: не выезжать за пределы (страны? города?), не менять места жительства без согласия надзорного органа, раз в месяц являться туда для регистрации.

Из документа следует, что по делу проходили двое фигурантов, второй, согласно заключению судебно-психиатрической комиссии, страдал психическим расстройством — очевидно, Ленин/Шефель. Также в деле фигурируют некие неустановленные лица.

В приговоре события изложены следующим образом: в период с 8 марта 2021 года по 8 апреля 2022 года Ленин/Шефель нашёл на неустановленном сайте в даркнете неустановленного заказчика, который искал специалистов для разработки программы-шифровальщика и панели управления им. Заказчик передал Ленину/Шефелю ТЗ, исходный код и денежные средства. Тот определил перечень необходимых работ и передал сведения Ермакову. Далее Ермаков и Ленин/Шефель нашли неустановленных разработчичов, которые согласились за вознаграждение создать шифровальщик и панель управления, передали им полученный у заказчика исходных код и денежные средства. После чего эти неустановленные исполнители создали «вредоносные компьютерные программы «ШугарЛокер» («Sugar Ransomware»), способные скрытно от пользователя, без его согласия, осуществлять уничтожение, блокирование, модификацию и копирование компьютерной информации». Те же самые неустановленные лица разместили на арендованном виртуальном сервере панель управления, доступную по адресу sugarpanel[.]space, и разместили на этом сервере программу-шифровальщик. Далее в приговоре приводится экспертиза «Лаборатории Касперского», подтверждающая, что это действительно было ВПО, и объясняющая, как оно шифрует данные. И, наконец, Ермаков, Ленин/Шефель и неустановленные лица передали тому самому неустановленному заказчику SugarLocker и доступ к панели управления и получили остаток вознаграждения.

Собственно, это всё. Александр Ермаков с предъявленными обвинениями согласился, вину признал, в содеянном раскаялся.

Ни о каких жертвах SugarLocker в документе не говорится, тем более о зарубежных. Передавали ли австралийские правоохранительные органы российским информацию, касающуюся Ермакова, достоверно мы не знаем, но я бы предположил, что нет. В любом случае в деле ничего такого даже близко не упоминается.

Вообще на неподготовленного читателя (вроде меня) больше всего в тексте приговора производит впечатление то, сколько в нём всего неустановленного. Не установлены ни заказчик (а был ли он?), ни исполнители, ни сайты, где шло общение, ни денежные суммы. Что уж тут говорить о жертвах. При этом, судя по февральскому пресс-релизу F.A.C.C.T., у подозреваемых во время обысков были обнаружены компьютеры, мобильные телефоны и разные цифровые улики, подтверждающие противоправную деятельность.

mos-gorsud.ru/rs/presnenskij/services/cases/criminal/details/5fbc9040-6053-11ef-90fb-cf347d6d6671
mos-gorsud.ru/rs/presnenskij/cases/docs/content/70550ea0-8a1a-11ef-ae55-f118aaa84170
 
Недавно опубликованный приговор Александру Ермакову открывает новые подробности дела SugarLocker.

Кратко напомню предысторию: примерно год назад Австралия, Великобритания и США наложили санкции на россиянина Александра Ермакова якобы за его причастность ко взлому австралийского страховщика Medibank осенью 2022 года. В феврале F.A.C.C.T. сообщила о своём участии в операции Бюро специальных технических мероприятий МВД по вычислению и задержанию троих участников группы вымогателей SugarLocker, которая работала под вывеской компании Shtazi-IT. Благодаря пресс-релизу выяснилось, что среди задержанных лиц был и Александр Ермаков, попавший под западные санкции. К осени дело дошло до суда. В октябре приговор был вынесен Александру Ермакову, а его коллега Михаил Ленин (Шефель) был признан невменяемым. Однако текст приговора опубликован только сейчас.

Меня, с международной точки зрения, прежде всего интересовало, была ли связь между уголовным преследованием в России и западными санкциями. Спойлер: нет — как минимум в рамках завершённого дела в отношении Ермакова.

Суд признал Ермакова виновным по ч. 2 ст. 273 УК РФ (создание, использование и распространение вредоносных компьютерных программ; совершённое группой лиц) и в качестве наказания назначил ему два года ограничения свободы: не выезжать за пределы (страны? города?), не менять места жительства без согласия надзорного органа, раз в месяц являться туда для регистрации.

Из документа следует, что по делу проходили двое фигурантов, второй, согласно заключению судебно-психиатрической комиссии, страдал психическим расстройством — очевидно, Ленин/Шефель. Также в деле фигурируют некие неустановленные лица.

В приговоре события изложены следующим образом: в период с 8 марта 2021 года по 8 апреля 2022 года Ленин/Шефель нашёл на неустановленном сайте в даркнете неустановленного заказчика, который искал специалистов для разработки программы-шифровальщика и панели управления им. Заказчик передал Ленину/Шефелю ТЗ, исходный код и денежные средства. Тот определил перечень необходимых работ и передал сведения Ермакову. Далее Ермаков и Ленин/Шефель нашли неустановленных разработчичов, которые согласились за вознаграждение создать шифровальщик и панель управления, передали им полученный у заказчика исходных код и денежные средства. После чего эти неустановленные исполнители создали «вредоносные компьютерные программы «ШугарЛокер» («Sugar Ransomware»), способные скрытно от пользователя, без его согласия, осуществлять уничтожение, блокирование, модификацию и копирование компьютерной информации». Те же самые неустановленные лица разместили на арендованном виртуальном сервере панель управления, доступную по адресу sugarpanel[.]space, и разместили на этом сервере программу-шифровальщик. Далее в приговоре приводится экспертиза «Лаборатории Касперского», подтверждающая, что это действительно было ВПО, и объясняющая, как оно шифрует данные. И, наконец, Ермаков, Ленин/Шефель и неустановленные лица передали тому самому неустановленному заказчику SugarLocker и доступ к панели управления и получили остаток вознаграждения.

Собственно, это всё. Александр Ермаков с предъявленными обвинениями согласился, вину признал, в содеянном раскаялся.

Ни о каких жертвах SugarLocker в документе не говорится, тем более о зарубежных. Передавали ли австралийские правоохранительные органы российским информацию, касающуюся Ермакова, достоверно мы не знаем, но я бы предположил, что нет. В любом случае в деле ничего такого даже близко не упоминается.

Вообще на неподготовленного читателя (вроде меня) больше всего в тексте приговора производит впечатление то, сколько в нём всего неустановленного. Не установлены ни заказчик (а был ли он?), ни исполнители, ни сайты, где шло общение, ни денежные суммы. Что уж тут говорить о жертвах. При этом, судя по февральскому пресс-релизу F.A.C.C.T., у подозреваемых во время обысков были обнаружены компьютеры, мобильные телефоны и разные цифровые улики, подтверждающие противоправную деятельность.

cc Oleg Shakirov
 
Войдите или зарегистрируйтесь для ответа.
Activity
So far there's no one here
Сверху Снизу