МОСКВА, 20 февраля. /ТАСС/. Сотрудники бюро специальных технических мероприятий МВД России при поддержке и участии компании F.A.C.C.T. задержали членов группировки вымогателей SugarLocker. Как сообщили ТАСС в компании, мошенников, работавших под вывеской обычной IT-компании, задержали в январе.
Специалисты установили, что часть инфраструктуры SugarLocker располагалась на российских хостингах. Благодаря ошибке в конфигурации веб-сервера группировки F.A.C.C.T. выявила панель управления программой-вымогателем. Вся информация была передана в МВД.
"В январе 2024 года трое членов группы SugarLocker были задержаны сотрудниками бюро специальных технических мероприятий МВД России при участии специалистов компании F.A.C.C.T.", - сообщил представитель компании. Фигурантам предъявлены обвинения по ст. 273 УК РФ (создание, использование и распространение вредоносных компьютерных программ). Никнеймы одного из задержанных совпадают с данными 33-летнего россиянина Александра Ермакова, против которого Минфин США ввел санкции в конце января.
Обыск у подозреваемых выявил ноутбуки, мобильные телефоны, а также цифровые улики, включая следы переписки, которые подтверждали факт противоправной деятельности.
Как действовала группировка
SugarLocker прикрывалась вывеской компании Shtazi-IT, занимающейся разработкой мобильных приложений, скриптов, интернет-магазинов и прочих ресурсов. В F.A.C.C.T. отмечают, что мошенники открыто нанимали новых разработчиков в команду, связаться можно было через аккаунт в Telegram с никнеймом Ермакова.
Группировка атаковала цели через сети и протокол удаленного рабочего стола. Примечательно, что SugarLocker не работала по странам СНГ. Как отмечает F.A.C.C.T., одноименная программа-вымогатель появилась еще в 2021 году, тогда же на теневом форуме RAMP появилось объявление о наборе партнеров в группу вымогателей, использовавших SugarLocker.
Об Александре Ермакове
В январе 2024 года Минфин США сообщил, что совместно с Великобританией и Австралией ввел санкции против россиянина Ермакова, якобы ответственного за взлом баз данных крупнейшей медицинской страховой компании Medibank.
Впервые о кибератаке на серверы Medibank стало известно 14 октября 2022 года, однако тогда страховщик скрыл информацию о том, что хакерам удалось похитить личные данные застрахованных компанией людей, а также значительную часть конфиденциальных медицинских сведений.
Позднее завладевшие личными данными клиентов Medibank потребовали выкуп, и компании пришлось подтвердить факт кражи данных, а также признать, что в результате хакерской атаки, ущерб от которой оценивается в $20 млн, пострадали 9,7 млн клиентов. Федеральная полиция Австралии обвинила в кибератаке хакеров из России и заявила, что "знает имена тех, кто несет ответственность за взлом".