Американське правосуддя досягло значної перемоги у протидії кіберзлочинності, конфіскувавши понад 2,8 мільйона доларів у криптовалюті у підозрюваного оператора вимагального програмного забезпечення Zeppelin. Яніс Александрович Антропенко був затриманий у Техасі за звинуваченнями в комп’ютерному шахрайстві та відмиванні коштів, що стало важливим кроком у боротьбі з ransomware-групуваннями.
Глобальний масштаб кіберзлочинної діяльності
За даними Міністерства юстиції США, Антропенко застосовував вимагальське ПЗ Zeppelin для атак на різноманітні цілі по всьому світу, включаючи приватних осіб, комерційні підприємства та державні установи. Злочинна схема функціонувала за принципом подвійного вимагання: кіберзлочинці шифрували корпоративні дані та паралельно викрадали конфіденційну інформацію.
Постраждалі організації стикалися з подвійною загрозою – вимогою викупу як за розшифрування даних, так і за відмову від оприлюднення викрадених відомостей. Така тактика суттєво підвищувала тиск на жертв та збільшувала імовірність отримання викупу злочинцями.
Складні схеми легалізації криптовалютних доходів
Розслідування розкрило витончені методи відмивання злочинних прибутків. Антропенко активно використовував криптовалютний міксер ChipMixer, який був ліквідований правоохоронними органами у березні 2023 року. Цей сервіс дозволяв заплутувати сліди транзакцій, роблячи їх практично невідстежуваними.
Окрім цифрових інструментів, підозрюваний застосовував традиційні методи відмивання коштів: обмін криптовалют на готівку та структуровані банківські депозити. Останній спосіб передбачав розбиття великих сум на численні дрібні внески для обходу вимог банківської звітності.
Вилучені активи та матеріальні цінності
Загальна сума конфіскованих цифрових активів склала 2,8 мільйона доларів. Додатково у Антропенка було вилучено 70 000 доларів готівкою та розкішний автомобіль, що демонструє масштаби фінансової вигоди від злочинної діяльності.
Технічна характеристика вимагального ПЗ Zeppelin
Zeppelin з’явився у кіберзлочинному ландшафті наприкінці 2019 року як модифікована версія малвару VegaLocker/Buran. Шкідливе ПЗ спеціалізувалося на атаках проти медичних закладів та IT-компаній у Європі та Північній Америці, експлуатуючи вразливості в програмному забезпеченні MSP-провайдерів.
Цікавою особливістю Zeppelin був вбудований захист від роботи на території пострадянського простору. Шифрувальник автоматично припиняв активність при виявленні систем у Росії, Україні, Казахстані, Білорусі та інших країнах СНД, що кардинально відрізняло його від інших варіантів сімейства Vega.
Занепад вимагального ПЗ та подальші події
До кінця 2022 року активність Zeppelin практично припинилася завдяки роботі фахівців інформаційної безпеки. Компанія Unit221b виявила критичні вразливості в коді шифрувальника та створила працюючий дешифратор, який допоміг численним постраждалим організаціям відновити свої дані без сплати викупу.
Остаточне падіння престижу Zeppelin відбулося у січні 2024 року, коли аналітики KELA виявили продаж вихідного коду вимагального ПЗ на хакерських форумах всього за 500 доларів. Це свідчить про повну компрометацію та втрату комерційної цінності даної кіберзагрози.
Арешт Антропенка та конфіскація багатомільйонних активів демонструють зростаючу ефективність міжнародного співробітництва у боротьбі з кіберзлочинністю. Цей випадок служить попередженням для операторів вимагального ПЗ про неминучість правосуддя, навіть при використанні найсучасніших технологій приховування слідів. Організаціям варто посилити заходи захисту від ransomware-атак, включаючи регулярне резервне копіювання, оновлення програмного забезпечення та навчання персоналу основам кібербезпеки.
