СМ. ТАКЖЕ (1)

Содержание

Матвеев Михаил Павлович
Матвеев Михаил Павлович

Биография

2023

Объявление Госдепом США вознаграждения в $10 млн за поимку

16 мая 2023 года Государственный департамент США объявил вознаграждение в размере $10 млн за информацию, которая поможет в поимке российского хакера Михаила Матвеева.

По версии американских правоохранительных органов, Матвеев вёл транснациональную преступную деятельность. Ему уже предъявлены официальные обвинения в кибервымогательствах в округе Колумбия и округе Нью-Джерси. Вместе с тем управление по контролю над иностранными активами Министерства финансов США ввело санкции в отношении Матвеева.

«
Мы предпринимаем эти меры в связи с участием Матвеева в атаках с применением программ-вымогателей, направленных против правоохранительных органов США, предприятий и объектов критической инфраструктуры по всему миру, — говорится в заявлении Госдепа.
»

В документах Минфина США отмечается, что Матвеев является одной из ключевых фигур в разработке и распространении таких программ-вымогателей, как Hive, LockBit и Babuk. В 2021 году, по данным ведомства, шифровальщик Babuk атаковал полицейское управление крупного американского города. Киберпреступники похитили домашние адреса, номера мобильных телефонов, финансовые сведения, истории болезни и другие личные данные сотрудников полиции, а также конфиденциальную информацию о преступных группировках, свидетелях и лицах, подозревающихся в совершении злодеяний.

Кроме того, правоохранительные органы связывают Матвеева с внедрением программ-вымогателей в сети ряда организаций, включая американскую авиакомпанию. Минфин также заявляет, что команда вымогателей Hive атаковала свыше 1500 жертв в более чем 80 странах, включая больницы, образовательные учреждения, финансовые фирмы и объекты критически важной инфраструктуры. О предполагаемом местонахождении Матвеева ничего не сообщается.[1]

Общение с журналистами

В начале октября 2023 года самый разыскиваемый российский хакер Михаил Матвеев, также известный как Wazawaka и Boriselcin, пообщался с журналистами. Он заявил, что его жизнь не слишком изменилась после того, как США внесли его в санкционный список, а ФБР пообещало вознаграждение в размере $10 млн за информацию, которая поможет в его поимке.

По словам Матвеева, попадание под американские санкции означает, что Россия не будет его депортировать. Таким образом, можно сделать вывод, что хакер по состоянию на октябрь 2023-го проживает на территории РФ. Матвеев подчеркнул, что он больше не будет путешествовать, а чтобы не было соблазна, он буквально «сжег свой паспорт». Wazawaka подчеркивает, что его последняя заграничная поездка состоялась в 2014 году, когда он посетил Таиланд: там он в числе прочего пробовал блюда местной кухни, в частности, скорпионов, которые «оказались вкусными».

Михаил Матвеев
«
Мы русские не боимся американских властей. Моя жизнь изменилась в лучшую сторону после санкций, я их на себе не чувствую, кроме того, это плюс для моей безопасности, — заявил Матвеев в интервью изданию TechCrunch.
»

По данным правоохранительных органов США, Матвеев участвовал в «глобальной кампании по вымогательству», а также тесно сотрудничал с кибергруппировками Hive, Lockbit и Babuk для проведения «серьезных атак» на корпорации и критически важную инфраструктуру в США и других странах, включая больницы и правительственные учреждения. Сам Матвеев, впрочем, это отрицает, заявляя, что на самом деле он не связан ни с какой кибербандой, занимающейся вымогательством, и что он «брал их программное обеспечение в аренду только для своих целей».

«
Я никогда не был автором проектов Hive и Lockbit, я был лишь аффилированным независимым лицом — сам по себе, своим собственным хозяином, — заявил Матвеев, добавив, что программы-вымогатели его больше не интересуют.[2]
»

Швейцарские исследователи изучили и раскрыли детальные сведения о деятельности знаменитого хакера из России

Компания PRODAFT опубликовала отчет о деятельности группы российских хакеров под руководством Михаила Матвеева, которые по ее данным занимаются разработкой и эксплуатацией вымогателей. Эксперты компании изучили информацию о деятельности группы Матвеева с апреля по декабрь 2023 года, анализируя данные перехвата сообщений между ее участниками. По данным компании в нее, кроме руководителя, также входят еще шесть пентестеров, которые в отчете названы только по сетевым псевдонимам. Эта группа якобы являлась не только партнерами таких платформ вымогателей как Conti, LockBit, Hive, Trigona и NoEscape, но и непосредственными разработчиками RaaS-платформ Babuk и Monti совместно с Евгением Богачевым.

Диаграмма деятельности группы Михаила Матвеева

Собственно, Михаил Матвеев стал известен в мае 2023 года, когда американский Минюст выпустил пресс-релиз, в котором обвинил его в нападении с помощью шифровальщиков LockBit и Babuk на несколько полицейских департаментов в США. В результате, за информацию о нем была объявлена награда в 10 млн долл., которую, возможно, PRODAFT и планирует в результате публикации отчета получить.

Атаки, организованные Матвеевым и его командой, включают в себя использование Zoominfo и таких сервисов, как Censys, Shodan и FOFA, для сбора информации о жертвах, полагаясь на известные уязвимости и брокеров первоначального доступа для получения плацдарма, в дополнение к использованию сочетания пользовательских и готовых инструментов для подбора учетных записей VPN, повышения привилегий и оптимизации своих операций.

Уязвимости, которые использовала группа Михаила Матвеева для получения первичного доступа в инфраструктуру жертвы
«
После получения первоначального доступа Вазавака (псевдоним Матвеева) и его подчиненные в основном используют команды PowerShell для запуска инструмента удаленного мониторинга и управления (RMM), — поясняется в отчете PRODAFT. – Отличительной чертой команды является эксплуатация инструмента MeshCentral, который базируется на программном обеспечении с открытым исходным кодом, для проведения различных операций.
»

Причем исходные коды разработанного командой вымогателя Babuk были обнародованы, и другие кибергруппировки использовали их в том числе и для нападения на российские объекты критической информационной инфраструктуры. В американском законодательстве разработка вредоносных программ до сих пор не наказывается – под запретом только их использование. Этой особенностью злоупотребляют RaaS-платформы для того, чтобы избежать юридического преследования, поскольку они лично не совершают вредоносных действий. Однако в российском законодательстве запрещено не только использование, но и разработка вредоносных программ. Правда, для этого нужны пострадавшие организации на территории России, которые и должны подать заявление о проведении расследования. Именно поэтому российские группировки стараются не шантажировать отечественные компании.

«
В целом, исключительная экстерриториальность работы разработчиков ВПО - скорее миф, – пояснил ситуацию для TAdviser Павел Кузнецов, директор по стратегическим альянсам и взаимодействию с органами государственной власти ГК «Гарда». – Разработчики вредоносов, продававшие свою работу как злоумышленникам из ближайшего зарубежья, так и отечественному криминалу для дальнейшего использования, часто работали с территории того государства, на организации которого впоследствии осуществлялись атаки с помощью этих инструментов. Для примера достаточно вспомнить историю с популярными банковскими троянцами семейства Dimnie. По версии многих исследователей троянские программы данного семейства разрабатывались человеком или группой людей, если не проживающими на территории России, то как минимум являющимися русскоязычными.
»

Примечания