Росіянин Олексій Олегович Волков (відомий як chubaka.kor і nets) визнав провину у наданні початкових доступів операторам ransomware Yanluowang. За даними ФБР, між липнем 2021 і листопадом 2022 року через ці доступи було атаковано щонайменше вісім компаній у США, після чого зловмисники шифрували системи та вимагали викуп.
Роль Initial Access Broker у схемах ransomware
Слідство кваліфікує Волкова як Initial Access Broker (IAB) — посередника на «чорному ринку», який спеціалізується на проникненні в корпоративні мережі та монетизації доступів шляхом їх продажу операторам шкідливих програм-вимагачів. Така поділ праці масштабує атаки: команди ransomware зосереджуються на шифруванні й переговорах, тоді як IAB системно забезпечують «вхідні точки».
Типові тактики проникнення IAB
За даними профільних звітів (зокрема Verizon DBIR та рекомендацій CISA), IAB переважно експлуатують компрометацію облікових даних і слабкий віддалений доступ: фішингові кампанії для викрадення паролів, підбір (brute force) до RDP/VPN без MFA, використання вразливостей периметра (поштові й мережеві шлюзові рішення), а також компрометацію сесійних токенів. Це вектори, які стабільно очолюють статистику інцидентів.
Як ФБР відстежило особу та грошові потоки
Розслідування пов’язало низку криптовалютних транзакцій, включно з переказами на $94 259 і $162 220, з адресами, які, за версією слідства, Волков передав спільнику. У двох епізодах жертви сплатили викуп, а Волков отримав частку платежів. Загальна сума транзакцій, що фігурує у матеріалах справи, оцінюється приблизно в $1,5 млн.
Під час обшуку сервера, пов’язаного з активністю фігуранта, правоохоронці виявили логи чатів, викрадені дані, облікові записи жертв та адреси електронної пошти, які застосовувалися для переговорів щодо викупу. Для подальшої атрибуції використовували Apple iCloud, дані криптобірж з KYC-процедурами та соціальні мережі, зіставивши інформацію з паспортом РФ та номером телефону. Поєднання блокчейн-аналітики та класичної цифрової криміналістики демонструє важливу закономірність: анонімність криптовалют відносна, особливо при легалізації коштів через регульовані платформи.
Пов’язані атаки та можливі перетини з LockBit
Американські слідчі пов’язують фігуранта з атаками на неназвану компанію з Філадельфії, інжинірингову фірму з 19 офісами у США, каліфорнійську компанію, банк у Мічигані, підприємства в Іллінойсі та Пенсильванії, компанію в Джорджії і телеком-провайдера з Огайо. Аналіз облікового запису iCloud виявив листування з користувачем під ніком LockBit, що може свідчити про контакти з однойменною угрупованням. У січні 2024 року Волкова було затримано в Італії та згодом екстрадовано до США.
Правові наслідки та компенсації
За сукупністю пред’явлених статей (незаконна передача засобів ідентифікації, торгівля даними доступу, шахрайство із засобами доступу, обтяжена крадіжка особистих даних, змова з метою комп’ютерного шахрайства та відмивання коштів) Волкову загрожує до 53 років позбавлення волі. Суд також може зобов’язати виплатити понад $9,1 млн як відшкодування збитків жертвам Yanluowang.
Практичні кроки кіберзахисту проти IAB і ransomware
Розслідування підтверджує ключову слабку ланку — облікові дані та віддалений доступ. Критично важливо повсюдно впровадити MFA для VPN, RDP і привілейованих акаунтів, застосовувати принцип найменших привілеїв і сегментацію мережі, оперативно усувати вразливості периметра, контролювати доступ підрядників, а також моніторити аномальні входи та ексфільтрацію даних за допомогою EDR/XDR і SIEM. Резервні копії — за схемою «3-2-1» з регулярними тестами відновлення. Важливо мати план реагування на інциденти та проводити навчальні tabletop-навчання з участю керівництва і зовнішніх партнерів.
Кейс Yanluowang показує зрілість інструментів правоохоронців: поєднання блокчейн-аналітики, даних хмарних сервісів та оператвної роботи підриває економіку IAB і груп-вимагачів. Для бізнесу це чіткий сигнал: прискорити впровадження MFA, жорстко контролювати віддалений доступ і посилювати спроможності виявлення та реагування. Почніть із аудиту облікових записів і політик доступу, закрийте уразливості на периметрі, перевірте резервні копії та відпрацюйте сценарії реагування — саме ці кроки системно зменшують ризик успішної
