“Спасатели” или “решалы”? Кому платишь, того и кормишь
NewsMakerСколько стоит предательство, если ты знаешь цену выкупа?
Бывший переговорщик по инцидентам с программами-вымогателями оказался в центре уголовного расследования Министерства юстиции США. Его подозревают в том, что он сотрудничал с преступными группировками, занимающимися вымогательством, и получал личную выгоду от заключаемых соглашений о выплате выкупа.
Фигурант дела ранее работал в компании DigitalMint, базирующейся в Чикаго. Эта организация специализируется на реагировании на киберинциденты и предоставляет услуги по переводу цифровых активов. С момента основания в 2017 году компания провела более 2 тысяч переговоров с вымогателями для получения дешифратора или предотвращения утечки похищенных данных.
О начале расследования первым сообщил Bloomberg. По информации издания, Министерство юстиции США проверяет, имел ли сотрудник DigitalMint связи с киберпреступниками и получал ли долю от выплачиваемого клиентами выкупа. В DigitalMint подтвердили , что один из их бывших сотрудников действительно стал объектом уголовного расследования. После получения информации о его возможном противоправном поведении компания уволила его. При этом в самой DigitalMint подчёркивают, что они не являются целью расследования.
В DigitalMint заявили, что компания оперативно приняла меры для защиты интересов клиентов и активно взаимодействует с правоохранительными органами. Сразу после выяснения обстоятельств компания начала информировать всех заинтересованных сторон.
Однако на дополнительные вопросы, например, был ли подозреваемый арестован, представители DigitalMint отвечать отказались, сославшись на то, что расследование продолжается. По информации источников, на фоне разгоревшегося скандала ряд юридических и страховых компаний рекомендовали своим клиентам воздержаться от использования услуг DigitalMint до завершения проверки.
Министерство юстиции США и ФБР пока официальных комментариев по поводу ситуации не дают.
Тема сомнительных схем на рынке реагирования на атаки программ-вымогателей поднималась и ранее. В 2019 году были опубликованы материалы, из которых следовало, что некоторые американские фирмы, предлагающие восстановление данных, на самом деле тайно выплачивали вымогателям выкуп, при этом не ставя клиентов в известность. Причём суммы таких платежей тогда были значительно ниже, чем те многомиллионные суммы, которые компании выплачивают сегодня.
Некоторые группировки, включая известные GandCrab и REvil , даже разрабатывали специальные скидочные коды и интерфейсы для подобных посредников, позволяя им договариваться о более низком размере выкупа. Руководитель другой компании, занимающейся переговорами с вымогателями, отметил, что модели бизнеса, в которых доход зависит от объёма или размера транзакций, особенно подвержены злоупотреблениям.
По его словам, когда посредник получает фиксированный процент от выплачиваемого выкупа, это неизбежно влияет на объективность его рекомендаций. Сигел также подчеркнул, что выплата выкупа в большинстве случаев является ошибкой, однако объяснить это пострадавшей от атаки компании бывает крайне сложно.
Ситуация с расследованием против бывшего сотрудника DigitalMint ещё раз продемонстрировала уязвимость и неоднозначность индустрии реагирования на атаки программ-вымогателей, где финансовая заинтересованность нередко конфликтует с интересами пострадавших компаний и общими принципами кибербезопасности.

Бывший переговорщик по инцидентам с программами-вымогателями оказался в центре уголовного расследования Министерства юстиции США. Его подозревают в том, что он сотрудничал с преступными группировками, занимающимися вымогательством, и получал личную выгоду от заключаемых соглашений о выплате выкупа.
Фигурант дела ранее работал в компании DigitalMint, базирующейся в Чикаго. Эта организация специализируется на реагировании на киберинциденты и предоставляет услуги по переводу цифровых активов. С момента основания в 2017 году компания провела более 2 тысяч переговоров с вымогателями для получения дешифратора или предотвращения утечки похищенных данных.
О начале расследования первым сообщил Bloomberg. По информации издания, Министерство юстиции США проверяет, имел ли сотрудник DigitalMint связи с киберпреступниками и получал ли долю от выплачиваемого клиентами выкупа. В DigitalMint подтвердили , что один из их бывших сотрудников действительно стал объектом уголовного расследования. После получения информации о его возможном противоправном поведении компания уволила его. При этом в самой DigitalMint подчёркивают, что они не являются целью расследования.
В DigitalMint заявили, что компания оперативно приняла меры для защиты интересов клиентов и активно взаимодействует с правоохранительными органами. Сразу после выяснения обстоятельств компания начала информировать всех заинтересованных сторон.
Однако на дополнительные вопросы, например, был ли подозреваемый арестован, представители DigitalMint отвечать отказались, сославшись на то, что расследование продолжается. По информации источников, на фоне разгоревшегося скандала ряд юридических и страховых компаний рекомендовали своим клиентам воздержаться от использования услуг DigitalMint до завершения проверки.
Министерство юстиции США и ФБР пока официальных комментариев по поводу ситуации не дают.
Тема сомнительных схем на рынке реагирования на атаки программ-вымогателей поднималась и ранее. В 2019 году были опубликованы материалы, из которых следовало, что некоторые американские фирмы, предлагающие восстановление данных, на самом деле тайно выплачивали вымогателям выкуп, при этом не ставя клиентов в известность. Причём суммы таких платежей тогда были значительно ниже, чем те многомиллионные суммы, которые компании выплачивают сегодня.
Некоторые группировки, включая известные GandCrab и REvil , даже разрабатывали специальные скидочные коды и интерфейсы для подобных посредников, позволяя им договариваться о более низком размере выкупа. Руководитель другой компании, занимающейся переговорами с вымогателями, отметил, что модели бизнеса, в которых доход зависит от объёма или размера транзакций, особенно подвержены злоупотреблениям.
По его словам, когда посредник получает фиксированный процент от выплачиваемого выкупа, это неизбежно влияет на объективность его рекомендаций. Сигел также подчеркнул, что выплата выкупа в большинстве случаев является ошибкой, однако объяснить это пострадавшей от атаки компании бывает крайне сложно.
Ситуация с расследованием против бывшего сотрудника DigitalMint ещё раз продемонстрировала уязвимость и неоднозначность индустрии реагирования на атаки программ-вымогателей, где финансовая заинтересованность нередко конфликтует с интересами пострадавших компаний и общими принципами кибербезопасности.