Міністерство юстиції США висунуло серйозні обвинувачення трьом колишнім спеціалістам з розслідування інцидентів і переговорів із викупниками, яких підозрюють у зламі мереж п’яти американських компаній та участі у схемі BlackCat (ALPHV). За версією слідства, підозрювані вимагали багатомільйонні викупи в криптовалюті за розшифрування даних і «нерозголошення» викраденої інформації — типова тактика подвійного вимагання.
Хто фігурує у справі та які обвинувачення висунуто
Особи та статті обвинувачення
Серед фігурантів — 28‑річний Кевін Тайлер Мартін (Техас), 33‑річний Райан Кліффорд Голдберг (Джорджія) та їхній неназваний спільник. Їм інкримінують змову з метою втручання в міжштатну комерційну діяльність шляхом вимагання, фактичне втручання в комерційну діяльність і умисне пошкодження захищених комп’ютерів. Максимальна сукупна санкція, за даними обвинувачення, може сягати до 50 років позбавлення волі.
Професійне минуле підозрюваних
Як повідомляє Chicago Sun-Times, Мартін і неназваний співучасник раніше працювали в DigitalMint і проводили переговори з викупниками, тоді як Голдберг очолював напрям інцидент-реагування в Sygnia. Слідство вважає, що вони діяли як афілійовані партнери BlackCat: здійснювали проникнення, ексфільтрували дані та запускали шифрувальник.
Кого атакували та яких сум вимагали
Судові матеріали вказують на жертв у кількох секторах: виробник медичного обладнання з Тампи (Флорида), фармацевтична компанія з Меріленду, інженерна фірма й медична клініка в Каліфорнії, а також розробник дронів з Вірджинії. Запити на викуп варіювалися від $300 000 до $10 млн. Підтверджено щонайменше одну виплату — $1,27 млн, яку здійснила компанія з Тампи після атаки у травні 2023 року.
BlackCat/ALPHV і модель RaaS: чому екосистема така небезпечна
BlackCat (ALPHV) — одна з найактивніших екосистем шифрувальників останніх років. За даними ФБР, лише за перші два роки діяльності афілійовані групи здійснили понад 1000 атак і отримали щонайменше $300 млн у вигляді викупів. Модель Ransomware‑as‑a‑Service (RaaS) розділяє ролі: розробники надають інфраструктуру, панелі керування та збірки шифрувальника, а афіліати відповідають за первинний доступ, ексфільтрацію та шифрування, ділячись прибутком.
Тактики викупників: типовий ланцюг атаки
У подібних кампаніях зазвичай поєднуються кілька етапів: початковий доступ через фішинг або експлуатацію вразливостей зовнішнього периметра; підвищення привілеїв і горизонтальний рух; подвійне вимагання — спершу крадіжка даних, потім їх шифрування; тиск через загрозу публікації на «виток‑сайтах». Вимоги виставляють у криптовалюті, переговори ведуть у захищених каналах, а дедлайни підкріплюють «демонстрацією» викрадених файлів.
Ризики для бізнесу та практичні кроки кіберзахисту
Технічні контролі пріоритетної важливості
Інцидент підкреслює вразливість різних галузей — від медицини до інженерії та аерокосміки. Доцільно посилити «гігієну безпеки»: MFA та принцип найменших привілеїв, жорстка сегментація мережі і ізоляція критичних вузлів, регулярний патч‑менеджмент зовнішніх сервісів, засоби EPP/EDR із виявленням аномалій, а також резервні копії з офлайн/immutable‑захистом і періодичним тестуванням відновлення.
Готовність до інцидентів і переговорні процедури
Варто заздалегідь відпрацювати сценарії реагування через tabletop‑навчання, формалізувати ролі, канали комунікації та юридичні рамки взаємодії з правоохоронними органами. Політики зі збереження логів та готовність до швидкої форензіки скорочують час простою і прямі збитки. Документовані процедури щодо взаємодії з викупниками допомагають уникнути імпровізацій, що часто коштують бізнесу найдорожче.
Справи проти ймовірних афіліатів BlackCat показують, що кіберзлочинні схеми дедалі частіше залучають фахівців із доменними знаннями. Це підвищує поріг захисту, але не робить його недосяжним. Перегляньте плани безперервності бізнесу, перевірте відновлення «на час» і інвестуйте в базові контролі — саме вони найкраще знижують важелі тиску викупників і обсяг потенційних втрат.
