25 февраля, на следующий день после того, как Россия вторглась в Украину, плодовитая банда вымогателей под названием Conti сделала заявление на своем темном веб-сайте. Это было необычно политическое заявление для киберпреступной организации: Conti заявила о своей «полной поддержке российского правительства» и заявила, что использует «все возможные ресурсы, чтобы нанести ответный удар по критически важным инфраструктурам» противников России.
Возможно, почувствовав, что такой публичный союз с режимом президента России Владимира Путина может вызвать проблемы, Конти позже в тот же день смягчил свое заявление. «Мы не в союзе ни с одним правительством, и мы осуждаем продолжающуюся войну», — говорится в последующем заявлении, в котором, тем не менее, поклялись отомстить Соединенным Штатам, если они будут использовать кибервойну против «любого русскоязычного региона мира».
Конти, вероятно, беспокоил призрак санкций США, которые Вашингтон применяет к людям или странам, угрожающим безопасности, внешней политике или экономике Америки. Но попытка Conti восстановить свой статус операции без гражданства не сработала: через несколько дней после вторжения России исследователь, который позже написал в Твиттере «Слава Украине!» слил 60 000 внутренних сообщений Conti в Twitter. В сообщениях указывались признаки связи между бандой и ФСБ, российской разведывательной службой, и в одном из них говорилось, что босс Conti «служит Пу».
Тем не менее, несмотря на то, что семья Путина и другие российские чиновники, олигархи, банки и предприятия столкнулись с беспрецедентной волной санкций США, призванных нанести сокрушительный удар по российской экономике, санкции не коснулись Конти. Каждый раз, когда министерство финансов США санкционирует такую операцию, американцам по закону запрещается платить за нее выкуп.
Тот факт, что Conti не была включена в санкционный список, может показаться удивительным, учитывая огромный ущерб, который она нанесла. Conti проникла в компьютерные системы более 1000 жертв по всему миру, заблокировала их файлы и собрала более 150 миллионов долларов в виде выкупа для восстановления доступа. Группа также украла данные жертв, опубликовала образцы на темном веб-сайте и пригрозила опубликовать больше, если это не будет оплачено.
Но лишь небольшая горстка из легионов предполагаемых преступников-вымогателей и групп, атакующих жертв США, была включена в санкционные списки Управлением по контролю за иностранными активами Министерства финансов, которое управляет ими и обеспечивает их соблюдение.
Внести группу вымогателей в санкционный список не так просто, как может показаться, говорят нынешние и бывшие чиновники казначейства. Санкции хороши настолько, насколько хороши доказательства, стоящие за ними. OFAC в основном полагается на информацию разведывательных и правоохранительных органов, а также на сообщения СМИ и другие источники. Когда дело доходит до программ-вымогателей, OFAC обычно использует доказательства из уголовных обвинений, например, в отношении предполагаемого вдохновителя российской киберпреступной группировки Evil Corp в 2019 году. Но такие действия правоохранительных органов могут занять годы.
«Атрибуция очень сложна», — признал Майкл Либерман, помощник директора отдела правоприменения OFAC, на конференции в этом году. (Министерство финансов не ответило на запросы ProPublica о комментариях.)
Группы программ-вымогателей постоянно меняют свои названия, отчасти для того, чтобы избежать санкций и правоохранительных органов. Действительно, в четверг технический сайт под названием BleepingComputer сообщил, что сама Conti «официально прекратила свою деятельность». В статье, в которой цитировалась информация от компании по предотвращению угроз под названием AdvIntel, излагались подробности о статусе сайтов и серверов Conti, но был недвусмыслен ключевой момент: «Conti больше нет, но операция продолжается».
Введя санкции, федеральное правительство нанесет ущерб пострадавшим организациям, таким как предприятия и больницы, которые могут пострадать от раскрытия коммерческой тайны или другой конфиденциальной информации или, возможно, будут вынуждены закрыться, если не смогут восстановить свои заблокированные файлы. Если бы они могли заплатить выкуп, хакер предоставил бы ключ для разблокировки файлов и пообещал бы удалить украденные данные.
Но и без санкций жертвы в безвыходном положении. За несколько лет до вторжения в Украину OFAC наложило санкции на ФСБ, одну из преемниц советского КГБ. Таким образом, несмотря на то, что Conti не была указана по имени, ее возможные связи с ФСБ или другими российскими структурами, включенными в список, могли в любом случае привести к санкциям против нее.
По словам юристов и переговорщиков, которые работают с жертвами программ-вымогателей, из-за этого и плохой перспективы выплаты группе, связанной с Россией, большинство жертв не заплатили выкуп Конти после февральской прокламации. Говорят, ситуация запутанная. «Конечно, для нас было бы проще, если бы стандарт включал добавление определенных групп программ-вымогателей в список OFAC», — сказал Майкл Уотерс, адвокат, который часто работает с жертвами программ-вымогателей. «Тогда мы просто не собираемся платить этим группам. Но это гораздо более туманно, чем это».
Некоторые американские жертвы продолжали платить выкуп Конти через канадского посредника по имени Cypfer. Генеральный директор Дэниел Тобок сказал, что Cypher заплатил Conti от имени примерно дюжины жертв, более трети из которых были американцами, после начала войны. Он сказал, что некоторым компаниям пришлось бы уволить сотрудников или полностью закрыться, если бы они не заплатили Conti. По словам Тобока, Cypfer следует санкциям США в отношении групп, перечисленных поименно, таких как Evil Corp. «Либо они в санкционном списке, либо нет», — сказал он о Конти. «Я не включаю сюда мораль».
Отсутствие ясности возлагает на жертв обязанность выяснить, попадает ли нападавший под санкционную категорию. Определить, действуют ли группы из Северной Кореи или Ирана, например, или от имени ФСБ, «очень, очень сложно, потому что явно есть попытки скрыть это с другой стороны», — сказал Райан Фейхи, юрист по санкциям, который работает с жертвы. Правительство создает впечатление, «как будто это традиционное коммерческое предприятие, и вы можете просто выследить преступника», добавил он. «Так не бывает».
Федеральное правительство долгое время не одобряло выплату выкупа и в последние годы привлекло внимание специалистов, работающих с жертвами программ-вымогателей. В октябре 2020 года Министерство финансов выпустило рекомендацию, в которой говорилось, что «компании, которые упрощают платежи программ-вымогателей кибер-злоумышленникам от имени жертв», могут «рисковать нарушение правил OFAC». Во втором бюллетене от 2021 года, похоже, признается, что жертвы иногда совершают платежи, нарушающие санкции. В этих случаях жертвы и их представители могут получить снисхождение, если они быстро сообщат об инциденте и выплате OFAC.
Поскольку многие жертвы в прошлом не хотели сообщать о нападениях в ФБР, опасаясь, что вторжение станет достоянием общественности или ФБР вместо этого расследует саму компанию, министерство финансов надеялось, что руководство побудит больше жертв работать с правоохранительными органами. Это, в свою очередь, может привести к новым обвинениям и новым санкциям.
Эта часть стратегии, кажется, работает: по словам Уотерса, все больше жертв сообщают об инцидентах в правоохранительные органы. По его словам, после бюллетеня 2021 года многие страховщики начали запрашивать доказательства того, что страхователи, подающие заявления о вымогательстве, сообщают об инцидентах в ФБР. Страховщики, с которыми он работает, серьезно взвешивают решения, принимаемые посредниками, такими как переговорная фирма Coveware. После заявления Conti о России Coveware прекратила выплаты группе, заявил ее соучредитель Билл Сигел. Coveware продолжила переговоры с Conti, предоставив жертве время для оценки ситуации, подготовки стратегии по связям с общественностью и принятия мер по уведомлению людей, пострадавших от взлома.
Источник: http://p53lf57qovyuvwsc6xnrppyply3vtqm7l6pcobkmyqsiofyeznfu5uqd.onion/article/ransomware-russia-ukraine-sanctions-ofac-conti