Власти и аналитики по анализу угроз с удовольствием устраняют операторов программ-вымогателей. Привлечение киберпреступников к ответственности посредством ареста, тюремного заключения или реального исправления создаёт мощный сдерживающий фактор и способствует достижению конечной цели — более безопасного интернета для всех.
Достичь этого уровня — невероятно сложная задача для правозащитников. Атаки с использованием программ-вымогателей часто инициируются людьми, проживающими в странах, не связанных с США договорами об экстрадиции или не сотрудничающих с международными правоохранительными органами. Когда таких препятствий нет, власти могут сосредоточить ресурсы для поиска и привлечения к ответственности виновных в кибератаках.
Борьба с киберпреступностью — изнурительная борьба, и победы обычно не компенсируют потери. На протяжении почти десятилетия полиция часто делала громкие заявления об аресте киберпреступников, содержании их под стражей до суда и конфискации их незаконно нажитых средств. Эти действия чётко дают понять общественности и потенциальным правонарушителям, что киберпреступность — серьёзное преступление, и власти принимают оперативные и заметные меры для обеспечения соблюдения закона.
Янис Александрович Антропенко является примером современного киберпреступника, однако, в отличие от многих других, столкнувшихся со строгим преследованием за аналогичные преступления, Министерство юстиции предоставило ему свободы, которые редко предоставляются таким подозреваемым.
36-летний гражданин России был арестован почти год назад в Калифорнии за предполагаемую причастность к многочисленным атакам с использованием программ-вымогателей, которые он совершал как минимум с мая 2018 года по август 2022 года. Тем не менее, в день ареста он был освобожден под залог и продолжает жить с небольшими ограничениями в Южной Калифорнии, ожидая суда за несколько тяжких преступлений.
Антропенко обвиняется в сговоре с целью совершения компьютерного мошенничества и злоупотребления, компьютерном мошенничестве и злоупотреблении, а также в сговоре с целью отмывания денег. Он обвиняется в использовании вируса-вымогателя Zeppelin для атак на множество людей, компаний и организаций по всему миру, включая жертв, находящихся в США.
В октябре Антропенко не признал себя виновным по предъявленным обвинениям.
Министерство юстиции недавно объявило, что в феврале 2024 года у Антропенко было изъято более 2,8 млн долларов в криптовалюте , почти 71 000 долларов наличными и два автомобиля класса люкс. Его предполагаемые преступления были впервые публично раскрыты в прошлом месяце, когда власти рассекретили различные судебные документы.
Фотография Антропенко, опубликованная в его публичном аккаунте в Instagram 10 марта 2023 г. (Instagram)
Арест Антропенко и предстоящее судебное разбирательство знаменуют собой очередную потенциальную победу над программой-вымогателем, но многие эксперты заявили CyberScoop, что ошеломлены тем, что он остаётся на свободе под залог. Эта редкая отсрочка в деле, связанном с известным предполагаемым киберпреступником, ещё более шокирует, учитывая его многочисленные стычки с полицией с момента ареста в 2024 году.
Антропенко нарушил условия своего предварительного освобождения как минимум трижды за четыре месяца этого года, включая два ареста в Калифорнии, связанных с опасным поведением в состоянии алкогольного и наркотического опьянения. Власти не объяснили, почему Антропенко был освобожден до суда, и почему сотрудники службы условно-досрочного освобождения и судья неоднократно позволяли ему оставаться на свободе после этих нарушений.
«В среднем большинство злоумышленников, занимающихся программами-вымогателями, если их задерживают, заключают под стражу из-за риска побега», — сказала Синтия Кайзер, старший вице-президент центра исследований программ-вымогателей в Halcyon.
«В США редко встречаются случаи, когда злоумышленники, занимающиеся программами-вымогателями, оказываются под стражей», — рассказал CyberScoop бывший заместитель помощника директора киберотдела ФБР. «Как правило, если ФБР считает, что человек может скрыться, оно отказывает в залоге».
Прокуроры Окружного суда США по Северному округу Техаса не отметили Антропенко как лицо, рискующее скрыться от правосудия в этом деле.
В прошлом году другие предполагаемые киберпреступники и подозреваемые в использовании программ-вымогателей, в том числе Ноа Урбан , Кэмерон Вагениус , Коннор Мука и Артём Стрижак , были задержаны до суда. Урбан, приговорённый в прошлом месяце к 10 годам тюремного заключения, и Вагениус , признавший себя виновным по некоторым пунктам обвинения, были арестованы в США. Мука и Стрижак были арестованы в других местах и экстрадированы в США.
Досудебное лечение подозреваемых в киберпреступлениях не всегда соответствовало строгим нормам, особенно с учётом состояния психического здоровья обвиняемых. Пейдж Томпсон, арестованная в июле 2019 года за взлом и кражу данных Capital One и десятков других организаций для майнинга криптовалюты, была признана прокуратурой «существующей с серьёзным риском побега », но спустя четыре месяца её всё же отпустили до суда .
Окружной судья США в Сиэтле определил, что Томпсон не представляет угрозы для общества, и ранее заявил адвокатам, что он « очень обеспокоен » тем, что Томпсон не получит адекватной психиатрической помощи от Бюро тюрем.
Томпсон был признан виновным по нескольким пунктам обвинения и приговорён в октябре 2022 года к отбытию срока и пяти годам условно, к большому огорчению прокуратуры. Ранее в этом году федеральный апелляционный суд отменил приговор судьи окружного суда , назвав наказание «существенно необоснованным».
Евгений Никулин, гражданин России, арестованный в октябре 2016 года по обвинению в краже базы данных, содержащей 117 миллионов паролей LinkedIn, Dropbox и других сервисов, был экстрадирован в США из Чехии в 2018 году и признан вменяемым , несмотря на то, что во время заключения и суда у него проявлялись симптомы психического заболевания. Он был задержан до суда и приговорён к 88 месяцам тюремного заключения в сентябре 2020 года.
Несмотря на эти расхождения в предыдущих делах, некоторые эксперты отмечают другие нарушения в деле Антропенко, включая условия его освобождения. Ему не запрещено пользоваться интернетом или компьютерами, но ограничено устройствами и сервисами, выявленными в ходе надзора и подлежащими мониторингу.
По словам аналитиков угроз и бывшего специального агента ФБР, специализировавшегося на расследованиях в сфере кибербезопасности, более мягкие условия освобождения обычно предлагаются в обмен на сотрудничество.
«Следователи, которые его выследили, наверняка захотят узнать, кто здесь крупная рыба, и подумают, кого ещё можно поймать», — рассказал CyberScoop бывший спецагент ФБР, пожелавший остаться анонимным. «Если он готов сотрудничать, то, как правило, федеральная система готова пойти вам навстречу».
Власти ввели ограничения на поездки Антропенко, потребовали от него сдать паспорт, запретили ему посещать российское посольство или консульство и отслеживают его местонахождение.
ФБР и прокуратура обвиняют Антропенко в использовании вирусов-вымогателей и вымогательстве денег через электронную почту, а также в причастности его и его бывшей жены Валерии Беднарчик к отмыванию денег, полученных от программ-вымогателей. Следователи отследили пути платежей выкупа, методы и услуги по отмыванию денег и установили, что арестованные счета, денежные средства и транспортные средства были получены преступным путём.
ФБР заявило, что обнаружило не менее 48 адресов криптовалюты, упомянутых в учетной записи электронной почты Антропенко — china.helper@aol.com, которую он зарегистрировал в мае 2018 года, — включая «электронные письма, по которым принимались или обсуждались платежи с целью получения выкупа», а также электронные письма о других атаках с использованием программ-вымогателей.
По состоянию на 5 февраля 2024 года кластер биткойн-адресов, принадлежащих Антропенко, «получил в общей сложности около 101 биткойна». Из этой суммы, по данным ФБР, 64,6 биткойна были отправлены на сервис микширования криптовалют ChipMixer. По текущему курсу, текущая стоимость 101 биткойна составляет почти 10,9 миллиона долларов.
По словам Яна Грея, вице-президента по разведке Flashpoint, закрытие ChipMixer в 2023 году , который преступники использовали для отмывания более 3 миллиардов долларов в криптовалюте, начиная с 2017 года, предоставило решающие доказательства для этого расследования.
«Только после того, как правоохранительные органы изъяли инфраструктуру ChipMixer, следователи смогли отследить средства, связанные со счетами, зарегистрированными на имя Антропенко», — сказал он. «Сложность методов отслеживания и кластеризации биткоинов, вероятно, также повлияла на выбор времени, поскольку правоохранительные органы стали более широко применять программное обеспечение и инструменты».
Прокуроры утверждают, что Антропенко и Беднарчик переправляли деньги жертв компьютерного мошенничества через ChipMixer, а затем возвращали их на свои биржевые счета. Антропенко также, предположительно, лично организовывал обмен криптовалюты на наличные в США, переводя наличные небольшими суммами до 10 000 долларов на свой банковский счёт.
Следователи ФБР отследили деятельность Антропенко через его счета в Proton Mail, PayPal и Bank of America, а также через счета в Binance и Apple, которые он и Беднарчик контролировали. В аккаунте Беднарчик в iCloud агенты обнаружили сид-фразу для криптовалютного кошелька, на который поступило более 40 биткоинов со счетов Антропенко, а также доказательства того, что она согласилась сохранить замаскированную копию этой фразы для доступа к средствам в случае недоступности Антропенко. В её аккаунте также содержались совместные с Антропенко налоговые декларации и фотографии крупных сумм наличных денег в США.
В обвинительном заключении против Антропенко власти включили два изображения американских наличных в сумке Louis Vuitton, которые, по словам следователей, были обнаружены в аккаунте Беднарчика в iCloud. Метаданные фотографий показали, что они были сделаны с разницей в 21 секунду 10 апреля 2022 года.
На втором фото видна примерно половина изъятых денег, а к оставшимся приклеена записка, написанная кириллицей и английским. На английском языке в записке написано: «Я забрал половину 50 000 долларов из 100 000 долларов».
Власти также изъяли наличные деньги и два автомобиля класса люкс из квартиры, которую Антропенко и Беднарчик когда-то делили в Ирвайне, штат Калифорния. Среди них были Lexus LX 570, который Антропенко приобрел более чем за 123 000 долларов в ноябре 2022 года, и BMW X6M 2022 года, который Антропенко и Беднарчик приобрели за 150 000 долларов наличными в ноябре 2021 года. Фотографии транспортных средств, соответствующих этим описаниям, размещены в общедоступном аккаунте Антропенко в Instagram .
Как рассказал CyberScoop Аллан Лиска, аналитик по угрозам в компании Recorded Future, в других случаях операторам программ-вымогателей помогали их супруги, но участие их партнеров, как правило, ограничивается отмыванием денег.
По словам Лиски, хотя сейчас многие операторы программ-вымогателей и их филиалы действуют за пределами России, редко случается, чтобы гражданин России проживал в США и инициировал атаки с использованием программ-вымогателей так долго, как предположительно сделал Антропенко.
«Похоже, у него была дополнительная информация о других людях, возможно, о более крупной рыбе, за которой могли бы следить правоохранительные органы», — сказал он.
Окружной суд США по Северному округу Техаса отказался отвечать на вопросы или предоставлять дополнительную информацию. Последний адвокат Антропенко, известный по делу, не ответил на запрос о комментарии.
Антропенко не просто причинил ущерб своим жертвам киберпреступлений, как утверждает прокуратура. Его неуравновешенность проявлялась в присутствии самых близких, утверждает Беднарчик, которая обвинила его в домашнем насилии во временных запретительных постановлениях, поданных против Антропенко в апреле и мае 2022 года.
Беднарчик была идентифицирована как неназванная соучастница Антропенко в судебных документах и публичных источниках. Хотя власти заявили о планах предъявить ей обвинения, в настоящее время ни одно дело не рассматривается.
В судебных документах Беднарчик нарисовал картину контролирующих отношений, написав, что Антропенко «постоянно угрожает мне полной опекой над нашим сыном, потому что у него много денег», и выразил опасения, что он может вывезти их ребенка в Россию без разрешения.
Фотография BMW X6M, опубликованная в публичном аккаунте Антропенко в Instagram 14 декабря 2021 года. Автомобиль соответствует описанию транспортного средства, изъятого властями в Ирвайне, Калифорния, в феврале 2024 года. (Instagram)
Судебные записи свидетельствуют о том, что семья жила вместе в Майами, а затем в Ирвайне до 2022 года. Несмотря на то, что Беднарчик сообщила о ежемесячном доходе от своего бизнеса по производству одежды всего в 800 долларов, она подсчитала, что Антропенко зарабатывал 50 000 долларов в месяц на «дивидендах в криптовалюте», назвав его «кормильцем семьи».
Когда в сентябре 2024 года Антропенко арестовали, Беднарчик внесла залог в размере 10 000 долларов, назвав себя в показаниях под присягой его бывшей женой.
«Ее имя либо удаляют, потому что она жертва, либо потому что она сотрудничает с правоохранительными органами и смогла добиться того, чтобы ее имя было удалено», — рассказал CyberScoop Зак Эдвардс, старший аналитик по угрозам в Silent Push.
Агентство по кибербезопасности и безопасности инфраструктуры заявило, что жертвами вируса-вымогателя Zeppelin стали самые разные предприятия и организации критической инфраструктуры, в том числе подрядчики по обороне, образовательные учреждения, производители, технологические компании и организации в сфере здравоохранения и медицины.
Zeppelin, вариант вредоносного ПО Vega, основанного на Delphi, использовался как минимум с 2019 года до середины 2022 года, говорится в сообщении агентства от августа 2022 года . В записке с требованием выкупа, включенной в сообщение CISA, был указан адрес AOL для связи по вопросам вымогательства.
Прокуроры и следователи, работающие над делом Антропенко, заявили, что с марта 2020 года вирус-вымогатель Zeppelin затронул около 138 жертв в США, включая компанию по анализу данных и ее генерального директора, базирующегося в регионе Даллас, где Антропенко предъявлены федеральные обвинения.
Прокуроры неоднократно заявляли, что дело против Антропенко «сложное», поскольку объем доказательств превышает 7 терабайт данных, включая персональные данные жертв, такие как имена, адреса, фотографии и номера банковских счетов.
Предполагаемая активность Zeppelin и Антропенко усилилась во время второй волны вирусов-вымогателей, когда многие киберпреступники действовали не по правилам, а правоохранительные органы находились в состоянии затишья, сказал Лиска. «Если начнёшь с ошибки, она тебя настигнет», — сказал он.
Действительно, исследователи и аналитики угроз связывают поимку Антропенко с его «небрежным» поведением и практикой, включая использование им услуг крупных американских поставщиков.
«Оперативная безопасность Антропенко была на удивление слабой», — сказал Грей.
«Он использовал личный счёт PayPal, связанный с резервными адресами электронной почты для операций с программами-вымогателями, использовал общие имена пользователей для банковских учётных записей и учётных записей программ-вымогателей, а также хранил конфиденциальную информацию, такую как начальные фразы криптовалют и фотографии крупных сумм наличных, в учётных записях iCloud», — продолжил он. «Эти сбои в работе OPSEC в конечном итоге привели к тому, что правоохранительные органы установили личность Антропенко».
Антропенко рассказал своему инспектору по пробации, что бывшая жена неожиданно забрала у него сына, что привело к серьёзному приступу депрессии и увеличению потребления алкоголя. «Когда он, будучи пьяным, гулял по своему автодому, к нему подошёл человек и предложил неизвестный наркотик», который, по его мнению, был метамфетамином, — написал инспектор по пробации Антропенко в судебном заявлении.
Антропенко заявил, что плохо помнит последующие события. Когда на следующее утро его посадили в полицейскую машину после прибытия полиции, «он решил, что его арестовывают, что ещё больше усугубило его депрессию и побудило удариться головой о стекло полицейской машины, после чего, как он помнит, пришёл в сознание уже в больнице», — сообщил сотрудник службы пробации. Обвинения предъявлены не были.
Почти два месяца спустя Антропенко был арестован за нахождение в состоянии алкогольного опьянения в общественном месте в округе Риверсайд, штат Калифорния, когда его нашли лежащим без признаков жизни на разделительной полосе дороги. Антропенко рассказал своему инспектору по надзору за условно-досрочным освобождением, что он сел на бордюр возле дома, чтобы покурить, выпив четыре-пять кружек пива, и почувствовал усталость, поэтому уснул. На следующий день его отпустили.
Мировой судья США в Техасе разрешил Антропенко остаться на свободе под залог и изменил условия его освобождения, включив в него запрет на употребление алкоголя и регулярное прохождение тестов на алкоголь.
«Мне кажется необычным, что он совершил столько нарушений, связанных с наркотиками, и остался на свободе под залог», — сказал Кайзер. «Это было бы слишком снисходительно, если бы они продолжали совершать преступления, явно направленные против других. Похоже, он вредит себе».
В апреле Антропенко обратился к своему инспектору по условно-досрочному освобождению, чтобы дать добровольное признание в употреблении кокаина, согласно судебному документу, поданному в мае. «Подсудимый заявил, что присутствовал на дне рождения сестры друга. Когда он пошёл в туалет, какие-то „случайные люди“ предложили ему „порцию кокаина“», — сообщил инспектор по условно-досрочному освобождению. Суд не предпринял дальнейших действий.
«Даже если он сотрудничает со следствием, ему предоставили большую свободу, гораздо больше, чем мы обычно видим в этом деле», — сказала Лиска. «Не могу вспомнить ни одного дела, ни одного такого громкого дела, которому предоставили бы такую свободу, независимо от того, сотрудничал он со следствием или нет».
Эдвардс также обеспокоен тем, что Антропенко остается на свободе под залогом до суда.
«Это дико, что гражданин России, которого обвиняют в сотрудничестве с серьезными глобальными структурами, представляющими угрозу безопасности, и который находится под залогом за руководство кампанией по распространению вирусов-вымогателей, несколько раз арестовывался за проблемы, связанные с алкоголем, в том числе за потерю сознания на улице в общественном месте, а также признался в употреблении кокаина, находясь под залогом, и тем не менее его залог не был отменен», — сказал он.
Бывшие сотрудники правоохранительных органов были менее шокированы обстоятельствами дела Антропенко, чем аналитики по безопасности.
Адам Марре, директор по информационной безопасности Arctic Wolf, заявил, что привилегии, предоставленные Антропенко после ареста, не являются такими уж странными, особенно с учетом того, что предполагаемые нарушения Антропенко правил предварительного освобождения не имеют ничего общего с киберпреступностью.
Марре заявил, что предполагаемые нарушения Антропенко расстроили бы его, когда он был специальным агентом ФБР и расследовал киберпреступления, но он понимает решения суда, добавив, что «люди невиновны, пока их вина не доказана».
По словам Кайзер, важно отметить, что ФБР нацелено на результат. «Вернуть деньги жертвам, у которых их украли, важнее, чем наказать кого-то, особенно если он больше не занимается [вымогательством]», — сказала она.
«Этих людей сложно арестовать и остановить, а значит, очень сложно сдерживать их в течение длительного времени», — добавил Кайзер. «Ни один арест не остановит подобную деятельность».
Достичь этого уровня — невероятно сложная задача для правозащитников. Атаки с использованием программ-вымогателей часто инициируются людьми, проживающими в странах, не связанных с США договорами об экстрадиции или не сотрудничающих с международными правоохранительными органами. Когда таких препятствий нет, власти могут сосредоточить ресурсы для поиска и привлечения к ответственности виновных в кибератаках.
Борьба с киберпреступностью — изнурительная борьба, и победы обычно не компенсируют потери. На протяжении почти десятилетия полиция часто делала громкие заявления об аресте киберпреступников, содержании их под стражей до суда и конфискации их незаконно нажитых средств. Эти действия чётко дают понять общественности и потенциальным правонарушителям, что киберпреступность — серьёзное преступление, и власти принимают оперативные и заметные меры для обеспечения соблюдения закона.
Янис Александрович Антропенко является примером современного киберпреступника, однако, в отличие от многих других, столкнувшихся со строгим преследованием за аналогичные преступления, Министерство юстиции предоставило ему свободы, которые редко предоставляются таким подозреваемым.
36-летний гражданин России был арестован почти год назад в Калифорнии за предполагаемую причастность к многочисленным атакам с использованием программ-вымогателей, которые он совершал как минимум с мая 2018 года по август 2022 года. Тем не менее, в день ареста он был освобожден под залог и продолжает жить с небольшими ограничениями в Южной Калифорнии, ожидая суда за несколько тяжких преступлений.
Антропенко обвиняется в сговоре с целью совершения компьютерного мошенничества и злоупотребления, компьютерном мошенничестве и злоупотреблении, а также в сговоре с целью отмывания денег. Он обвиняется в использовании вируса-вымогателя Zeppelin для атак на множество людей, компаний и организаций по всему миру, включая жертв, находящихся в США.
В октябре Антропенко не признал себя виновным по предъявленным обвинениям.
Министерство юстиции недавно объявило, что в феврале 2024 года у Антропенко было изъято более 2,8 млн долларов в криптовалюте , почти 71 000 долларов наличными и два автомобиля класса люкс. Его предполагаемые преступления были впервые публично раскрыты в прошлом месяце, когда власти рассекретили различные судебные документы.
Арест Антропенко и предстоящее судебное разбирательство знаменуют собой очередную потенциальную победу над программой-вымогателем, но многие эксперты заявили CyberScoop, что ошеломлены тем, что он остаётся на свободе под залог. Эта редкая отсрочка в деле, связанном с известным предполагаемым киберпреступником, ещё более шокирует, учитывая его многочисленные стычки с полицией с момента ареста в 2024 году.
Антропенко нарушил условия своего предварительного освобождения как минимум трижды за четыре месяца этого года, включая два ареста в Калифорнии, связанных с опасным поведением в состоянии алкогольного и наркотического опьянения. Власти не объяснили, почему Антропенко был освобожден до суда, и почему сотрудники службы условно-досрочного освобождения и судья неоднократно позволяли ему оставаться на свободе после этих нарушений.
«В среднем большинство злоумышленников, занимающихся программами-вымогателями, если их задерживают, заключают под стражу из-за риска побега», — сказала Синтия Кайзер, старший вице-президент центра исследований программ-вымогателей в Halcyon.
«В США редко встречаются случаи, когда злоумышленники, занимающиеся программами-вымогателями, оказываются под стражей», — рассказал CyberScoop бывший заместитель помощника директора киберотдела ФБР. «Как правило, если ФБР считает, что человек может скрыться, оно отказывает в залоге».
Прокуроры Окружного суда США по Северному округу Техаса не отметили Антропенко как лицо, рискующее скрыться от правосудия в этом деле.
В прошлом году другие предполагаемые киберпреступники и подозреваемые в использовании программ-вымогателей, в том числе Ноа Урбан , Кэмерон Вагениус , Коннор Мука и Артём Стрижак , были задержаны до суда. Урбан, приговорённый в прошлом месяце к 10 годам тюремного заключения, и Вагениус , признавший себя виновным по некоторым пунктам обвинения, были арестованы в США. Мука и Стрижак были арестованы в других местах и экстрадированы в США.
Досудебное лечение подозреваемых в киберпреступлениях не всегда соответствовало строгим нормам, особенно с учётом состояния психического здоровья обвиняемых. Пейдж Томпсон, арестованная в июле 2019 года за взлом и кражу данных Capital One и десятков других организаций для майнинга криптовалюты, была признана прокуратурой «существующей с серьёзным риском побега », но спустя четыре месяца её всё же отпустили до суда .
Окружной судья США в Сиэтле определил, что Томпсон не представляет угрозы для общества, и ранее заявил адвокатам, что он « очень обеспокоен » тем, что Томпсон не получит адекватной психиатрической помощи от Бюро тюрем.
Томпсон был признан виновным по нескольким пунктам обвинения и приговорён в октябре 2022 года к отбытию срока и пяти годам условно, к большому огорчению прокуратуры. Ранее в этом году федеральный апелляционный суд отменил приговор судьи окружного суда , назвав наказание «существенно необоснованным».
Евгений Никулин, гражданин России, арестованный в октябре 2016 года по обвинению в краже базы данных, содержащей 117 миллионов паролей LinkedIn, Dropbox и других сервисов, был экстрадирован в США из Чехии в 2018 году и признан вменяемым , несмотря на то, что во время заключения и суда у него проявлялись симптомы психического заболевания. Он был задержан до суда и приговорён к 88 месяцам тюремного заключения в сентябре 2020 года.
Несмотря на эти расхождения в предыдущих делах, некоторые эксперты отмечают другие нарушения в деле Антропенко, включая условия его освобождения. Ему не запрещено пользоваться интернетом или компьютерами, но ограничено устройствами и сервисами, выявленными в ходе надзора и подлежащими мониторингу.
По словам аналитиков угроз и бывшего специального агента ФБР, специализировавшегося на расследованиях в сфере кибербезопасности, более мягкие условия освобождения обычно предлагаются в обмен на сотрудничество.
«Следователи, которые его выследили, наверняка захотят узнать, кто здесь крупная рыба, и подумают, кого ещё можно поймать», — рассказал CyberScoop бывший спецагент ФБР, пожелавший остаться анонимным. «Если он готов сотрудничать, то, как правило, федеральная система готова пойти вам навстречу».
Власти ввели ограничения на поездки Антропенко, потребовали от него сдать паспорт, запретили ему посещать российское посольство или консульство и отслеживают его местонахождение.
Плохое поведение в прошлом
Федеральное дело против Антропенко подчеркивает, как ограниченность ресурсов может поставить правоохранительные органы и федеральных следователей в невыгодное положение, поскольку им приходится бороться с постоянным потоком киберпреступности.ФБР и прокуратура обвиняют Антропенко в использовании вирусов-вымогателей и вымогательстве денег через электронную почту, а также в причастности его и его бывшей жены Валерии Беднарчик к отмыванию денег, полученных от программ-вымогателей. Следователи отследили пути платежей выкупа, методы и услуги по отмыванию денег и установили, что арестованные счета, денежные средства и транспортные средства были получены преступным путём.
ФБР заявило, что обнаружило не менее 48 адресов криптовалюты, упомянутых в учетной записи электронной почты Антропенко — china.helper@aol.com, которую он зарегистрировал в мае 2018 года, — включая «электронные письма, по которым принимались или обсуждались платежи с целью получения выкупа», а также электронные письма о других атаках с использованием программ-вымогателей.
По состоянию на 5 февраля 2024 года кластер биткойн-адресов, принадлежащих Антропенко, «получил в общей сложности около 101 биткойна». Из этой суммы, по данным ФБР, 64,6 биткойна были отправлены на сервис микширования криптовалют ChipMixer. По текущему курсу, текущая стоимость 101 биткойна составляет почти 10,9 миллиона долларов.
По словам Яна Грея, вице-президента по разведке Flashpoint, закрытие ChipMixer в 2023 году , который преступники использовали для отмывания более 3 миллиардов долларов в криптовалюте, начиная с 2017 года, предоставило решающие доказательства для этого расследования.
«Только после того, как правоохранительные органы изъяли инфраструктуру ChipMixer, следователи смогли отследить средства, связанные со счетами, зарегистрированными на имя Антропенко», — сказал он. «Сложность методов отслеживания и кластеризации биткоинов, вероятно, также повлияла на выбор времени, поскольку правоохранительные органы стали более широко применять программное обеспечение и инструменты».
Прокуроры утверждают, что Антропенко и Беднарчик переправляли деньги жертв компьютерного мошенничества через ChipMixer, а затем возвращали их на свои биржевые счета. Антропенко также, предположительно, лично организовывал обмен криптовалюты на наличные в США, переводя наличные небольшими суммами до 10 000 долларов на свой банковский счёт.
Следователи ФБР отследили деятельность Антропенко через его счета в Proton Mail, PayPal и Bank of America, а также через счета в Binance и Apple, которые он и Беднарчик контролировали. В аккаунте Беднарчик в iCloud агенты обнаружили сид-фразу для криптовалютного кошелька, на который поступило более 40 биткоинов со счетов Антропенко, а также доказательства того, что она согласилась сохранить замаскированную копию этой фразы для доступа к средствам в случае недоступности Антропенко. В её аккаунте также содержались совместные с Антропенко налоговые декларации и фотографии крупных сумм наличных денег в США.
Власти также изъяли наличные деньги и два автомобиля класса люкс из квартиры, которую Антропенко и Беднарчик когда-то делили в Ирвайне, штат Калифорния. Среди них были Lexus LX 570, который Антропенко приобрел более чем за 123 000 долларов в ноябре 2022 года, и BMW X6M 2022 года, который Антропенко и Беднарчик приобрели за 150 000 долларов наличными в ноябре 2021 года. Фотографии транспортных средств, соответствующих этим описаниям, размещены в общедоступном аккаунте Антропенко в Instagram .
Как рассказал CyberScoop Аллан Лиска, аналитик по угрозам в компании Recorded Future, в других случаях операторам программ-вымогателей помогали их супруги, но участие их партнеров, как правило, ограничивается отмыванием денег.
По словам Лиски, хотя сейчас многие операторы программ-вымогателей и их филиалы действуют за пределами России, редко случается, чтобы гражданин России проживал в США и инициировал атаки с использованием программ-вымогателей так долго, как предположительно сделал Антропенко.
«Похоже, у него была дополнительная информация о других людях, возможно, о более крупной рыбе, за которой могли бы следить правоохранительные органы», — сказал он.
Окружной суд США по Северному округу Техаса отказался отвечать на вопросы или предоставлять дополнительную информацию. Последний адвокат Антропенко, известный по делу, не ответил на запрос о комментарии.
Антропенко не просто причинил ущерб своим жертвам киберпреступлений, как утверждает прокуратура. Его неуравновешенность проявлялась в присутствии самых близких, утверждает Беднарчик, которая обвинила его в домашнем насилии во временных запретительных постановлениях, поданных против Антропенко в апреле и мае 2022 года.
Беднарчик была идентифицирована как неназванная соучастница Антропенко в судебных документах и публичных источниках. Хотя власти заявили о планах предъявить ей обвинения, в настоящее время ни одно дело не рассматривается.
В судебных документах Беднарчик нарисовал картину контролирующих отношений, написав, что Антропенко «постоянно угрожает мне полной опекой над нашим сыном, потому что у него много денег», и выразил опасения, что он может вывезти их ребенка в Россию без разрешения.
Судебные записи свидетельствуют о том, что семья жила вместе в Майами, а затем в Ирвайне до 2022 года. Несмотря на то, что Беднарчик сообщила о ежемесячном доходе от своего бизнеса по производству одежды всего в 800 долларов, она подсчитала, что Антропенко зарабатывал 50 000 долларов в месяц на «дивидендах в криптовалюте», назвав его «кормильцем семьи».
Когда в сентябре 2024 года Антропенко арестовали, Беднарчик внесла залог в размере 10 000 долларов, назвав себя в показаниях под присягой его бывшей женой.
«Ее имя либо удаляют, потому что она жертва, либо потому что она сотрудничает с правоохранительными органами и смогла добиться того, чтобы ее имя было удалено», — рассказал CyberScoop Зак Эдвардс, старший аналитик по угрозам в Silent Push.
Связи Антропенко с вирусом-вымогателем Zeppelin
Власти не раскрывают степень причастности Антропенко к программе-вымогателю Zeppelin. В некоторых судебных документах прокуратура упоминает неназванных сообщников, что указывает на то, что расследование ведётся, а также известно о других лицах, причастных к операции по предоставлению программ-вымогателей как услуги.Агентство по кибербезопасности и безопасности инфраструктуры заявило, что жертвами вируса-вымогателя Zeppelin стали самые разные предприятия и организации критической инфраструктуры, в том числе подрядчики по обороне, образовательные учреждения, производители, технологические компании и организации в сфере здравоохранения и медицины.
Zeppelin, вариант вредоносного ПО Vega, основанного на Delphi, использовался как минимум с 2019 года до середины 2022 года, говорится в сообщении агентства от августа 2022 года . В записке с требованием выкупа, включенной в сообщение CISA, был указан адрес AOL для связи по вопросам вымогательства.
Прокуроры и следователи, работающие над делом Антропенко, заявили, что с марта 2020 года вирус-вымогатель Zeppelin затронул около 138 жертв в США, включая компанию по анализу данных и ее генерального директора, базирующегося в регионе Даллас, где Антропенко предъявлены федеральные обвинения.
Прокуроры неоднократно заявляли, что дело против Антропенко «сложное», поскольку объем доказательств превышает 7 терабайт данных, включая персональные данные жертв, такие как имена, адреса, фотографии и номера банковских счетов.
Предполагаемая активность Zeppelin и Антропенко усилилась во время второй волны вирусов-вымогателей, когда многие киберпреступники действовали не по правилам, а правоохранительные органы находились в состоянии затишья, сказал Лиска. «Если начнёшь с ошибки, она тебя настигнет», — сказал он.
Действительно, исследователи и аналитики угроз связывают поимку Антропенко с его «небрежным» поведением и практикой, включая использование им услуг крупных американских поставщиков.
«Оперативная безопасность Антропенко была на удивление слабой», — сказал Грей.
«Он использовал личный счёт PayPal, связанный с резервными адресами электронной почты для операций с программами-вымогателями, использовал общие имена пользователей для банковских учётных записей и учётных записей программ-вымогателей, а также хранил конфиденциальную информацию, такую как начальные фразы криптовалют и фотографии крупных сумм наличных, в учётных записях iCloud», — продолжил он. «Эти сбои в работе OPSEC в конечном итоге привели к тому, что правоохранительные органы установили личность Антропенко».
Нарушения предварительного освобождения
Пока прокуратура откладывает дату суда над Антропенко (в настоящее время назначенную на 6 февраля 2026 года), его личная жизнь рушится. 31 декабря 2024 года он был госпитализирован по психиатрическому поводу и провёл неделю в психиатрической клинике, согласно отчёту о нарушении условий предварительного освобождения.Антропенко рассказал своему инспектору по пробации, что бывшая жена неожиданно забрала у него сына, что привело к серьёзному приступу депрессии и увеличению потребления алкоголя. «Когда он, будучи пьяным, гулял по своему автодому, к нему подошёл человек и предложил неизвестный наркотик», который, по его мнению, был метамфетамином, — написал инспектор по пробации Антропенко в судебном заявлении.
Антропенко заявил, что плохо помнит последующие события. Когда на следующее утро его посадили в полицейскую машину после прибытия полиции, «он решил, что его арестовывают, что ещё больше усугубило его депрессию и побудило удариться головой о стекло полицейской машины, после чего, как он помнит, пришёл в сознание уже в больнице», — сообщил сотрудник службы пробации. Обвинения предъявлены не были.
Почти два месяца спустя Антропенко был арестован за нахождение в состоянии алкогольного опьянения в общественном месте в округе Риверсайд, штат Калифорния, когда его нашли лежащим без признаков жизни на разделительной полосе дороги. Антропенко рассказал своему инспектору по надзору за условно-досрочным освобождением, что он сел на бордюр возле дома, чтобы покурить, выпив четыре-пять кружек пива, и почувствовал усталость, поэтому уснул. На следующий день его отпустили.
Мировой судья США в Техасе разрешил Антропенко остаться на свободе под залог и изменил условия его освобождения, включив в него запрет на употребление алкоголя и регулярное прохождение тестов на алкоголь.
«Мне кажется необычным, что он совершил столько нарушений, связанных с наркотиками, и остался на свободе под залог», — сказал Кайзер. «Это было бы слишком снисходительно, если бы они продолжали совершать преступления, явно направленные против других. Похоже, он вредит себе».
В апреле Антропенко обратился к своему инспектору по условно-досрочному освобождению, чтобы дать добровольное признание в употреблении кокаина, согласно судебному документу, поданному в мае. «Подсудимый заявил, что присутствовал на дне рождения сестры друга. Когда он пошёл в туалет, какие-то „случайные люди“ предложили ему „порцию кокаина“», — сообщил инспектор по условно-досрочному освобождению. Суд не предпринял дальнейших действий.
«Даже если он сотрудничает со следствием, ему предоставили большую свободу, гораздо больше, чем мы обычно видим в этом деле», — сказала Лиска. «Не могу вспомнить ни одного дела, ни одного такого громкого дела, которому предоставили бы такую свободу, независимо от того, сотрудничал он со следствием или нет».
Эдвардс также обеспокоен тем, что Антропенко остается на свободе под залогом до суда.
«Это дико, что гражданин России, которого обвиняют в сотрудничестве с серьезными глобальными структурами, представляющими угрозу безопасности, и который находится под залогом за руководство кампанией по распространению вирусов-вымогателей, несколько раз арестовывался за проблемы, связанные с алкоголем, в том числе за потерю сознания на улице в общественном месте, а также признался в употреблении кокаина, находясь под залогом, и тем не менее его залог не был отменен», — сказал он.
Бывшие сотрудники правоохранительных органов были менее шокированы обстоятельствами дела Антропенко, чем аналитики по безопасности.
Адам Марре, директор по информационной безопасности Arctic Wolf, заявил, что привилегии, предоставленные Антропенко после ареста, не являются такими уж странными, особенно с учетом того, что предполагаемые нарушения Антропенко правил предварительного освобождения не имеют ничего общего с киберпреступностью.
Марре заявил, что предполагаемые нарушения Антропенко расстроили бы его, когда он был специальным агентом ФБР и расследовал киберпреступления, но он понимает решения суда, добавив, что «люди невиновны, пока их вина не доказана».
По словам Кайзер, важно отметить, что ФБР нацелено на результат. «Вернуть деньги жертвам, у которых их украли, важнее, чем наказать кого-то, особенно если он больше не занимается [вымогательством]», — сказала она.
«Этих людей сложно арестовать и остановить, а значит, очень сложно сдерживать их в течение длительного времени», — добавил Кайзер. «Ни один арест не остановит подобную деятельность».
