Гражданин Украины Алексей Литвиненко, экстрадированный из Ирландии в США, признал вину по делу о ransomware-группе Conti. Ему 44 года. В американском суде он согласился с обвинением в сговоре с целью электронного мошенничества.
Приговор назначен на 10 сентября 2026 года. Максимальное наказание по этой статье — до 20 лет лишения свободы. Окончательный срок определит федеральный судья с учетом американских правил назначения наказаний и обстоятельств дела.
Conti — одна из самых заметных ransomware-групп начала 2020-х. Ее операторы и партнеры взламывали сети компаний, шифровали данные, крали файлы и требовали выкуп за расшифровку и непубликацию украденной информации. Минюст США оценивает масштаб атак более чем в 1000 жертв по всему миру, а выплаты выкупов — минимум в $150 млн.
Литвиненко признал, что присоединился к группе Conti не позднее сентября 2021 года. Это был период, когда группа уже работала как полноценный криминальный бизнес: с разработчиками, операторами вторжений, переговорщиками, администраторами инфраструктуры и участниками, которые отвечали за отдельные технические задачи.
В материалах дела указано, что Литвиненко владел данными, украденными у восьми жертв в США и четырех жертв за пределами страны. Он также признал участие в команде, которой руководил другой участник Conti. В этой команде ему поручали работу над загрузчиком.
Загрузчик — это тип вредоносной программы, которая помогает доставить и запустить другие компоненты атаки. Сам шифровальщик — только финальная часть. До него атакующим нужно попасть в сеть, закрепиться, получить права, выгрузить данные, отключить защиту, распространиться по инфраструктуре и только потом включить шифрование.
Conti использовала модель ransomware-as-a-service (вымогательское ПО как услугу). Ядро группы разрабатывало и поддерживало инструмент, а партнеры применяли его в атаках на реальные организации. Доход делили между участниками.
Схема обычно выглядела так. Сначала злоумышленники получали доступ в сеть жертвы: через фишинг, украденные учетные данные, уязвимые удаленные сервисы, вредоносные загрузчики или уже купленный доступ у других преступников. Затем проводили разведку внутри инфраструктуры, искали доменные контроллеры, файловые серверы, резервные копии, бухгалтерские и бизнес-системы. После этого данные выгружали наружу. Шифрование запускали уже ближе к концу атаки.
Если компания отказывалась платить, данные могли появиться на сайте утечек. Для жертвы это означало риск раскрытия договоров, клиентских данных, финансовых документов, медицинской информации, внутренних переписок и юридических материалов.
Минюст США указывает, что Conti использовали против организаций в 47 штатах США, округе Колумбия, Пуэрто-Рико и 31 зарубежной стране. Жертвами становились компании, школы, больницы, органы власти и другие организации.
Для Среднего округа Теннесси в материалах экстрадиции отдельно упоминались два эпизода, где жертвы выплатили более $500 тыс. в криптовалюте. Еще у одной жертвы из этого округа похищенные данные были опубликованы.
ФБР оценивало выплаты Conti минимум в $150 млн по состоянию на январь 2022 года. Аналитики Chainalysis ранее оценили доходы Conti за 2021 год еще выше: не менее $180 млн. Разница объясняется методологией и периодом подсчета. Правоохранители обычно называют подтвержденные или консервативные оценки, блокчейн-аналитики считают выявленные потоки криптовалютных платежей.
В ransomware-делах редко удается довести до суда людей, которые находились далеко от США и работали через криптовалюту, Tor, посредников и чужую инфраструктуру. Литвиненко задержали в Ирландии в июле 2023 года по запросу США. Экстрадиция завершилась в октябре 2025 года, после чего он предстал перед судом в штате Теннесси.
Признание вины показывает, что международная цепочка всё-таки сработала: расследование, ордер, задержание, экстрадиция, суд и сделка по обвинению. Для рынка ransomware это неприятный сигнал. Участник может считать себя «техническим специалистом», а не главным оператором вымогательства, но разработка загрузчика и работа с украденными данными всё равно превращаются в уголовное дело.
Conti выросла из экосистемы Ryuk и была связана с TrickBot. TrickBot начинался как банковский троян, а затем стал крупной платформой для доставки вредоносного ПО, кражи данных и подготовки атак. Conti стала одной из самых агрессивных ransomware-структур своего времени.
Группа била по крупным организациям и критически важным секторам. В совместном предупреждении CISA, FBI, NSA и Secret Service указывалось, что число атак Conti против американских и международных организаций превысило 1000. Среди заметных инструментов в цепочках атак упоминались TrickBot и Cobalt Strike.
Cobalt Strike — легальный инструмент для тестирования безопасности, который часто воруют или используют нелегально. В руках атакующих он помогает закрепляться в сети, управлять зараженными машинами и развивать атаку.
В 2022 году группа столкнулась с сильным давлением: утечки внутренних чатов, внимание исследователей, санкции, уголовные дела и технические меры против инфраструктуры. В открытый доступ попали десятки тысяч сообщений и внутренних файлов. Эти материалы показали, что Conti работала почти как компания: с руководителями, зарплатами, задачами, рекрутингом, внутренними конфликтами и разделением ролей.
После этого бренд Conti фактически покинул рынок. Но люди, инструменты и подходы не исчезли. Исследователи связывали бывших участников и партнеров Conti с другими группами и ответвлениями ransomware-рынка.
Есть новость? Станьте автором.
Мы сотрудничаем с независимыми исследователями и специалистами по кибербезопасности. Отправьте нам новость или предложите статью на рассмотрение редакции.
