Федеральный суд Южного округа Индианы 24 марта 2026 года приговорил 26-летнего гражданина России Алексея Олеговича Волкова к 81 месяцу (6 лет и 9 месяцев) тюрьмы. Волков работал посредником по продаже доступа к взломанным сетям (initial access broker) для группировки Yanluowang. Фактический ущерб превысил $9 млн.
Волков действовал под ником chubaka.kor с июля 2021 по ноябрь 2022 года. Он проникал в корпоративные сети, используя уязвимости и украденные учётные записи, а затем продавал доступ участникам группировки Yanluowang. В ряде случаев цена составляла $1 000 в Bitcoin.
Жертвами стали семь организаций в США: банк, телекоммуникационная компания, инженерная фирма, юридическая контора и другие организации в Пенсильвании, Калифорнии, Мичигане, Иллинойсе, Джорджии и Огайо. Двое заплатили выкуп на общую сумму $1,5 млн. Лично Волков получил более $256 000.
Соучастники Волкова шифровали файлы жертв и требовали выкуп в криптовалюте. Суммы иногда достигали десятков миллионов долларов. Группировка угрожала публикацией украденных файлов на сайте для публикации украденных файлов (leak-сайте), проводила DDoS-атаки и звонила руководителям компаний.
Соучастники Волкова использовали предоставленный им доступ для заражения сетей и систем вредоносным ПО. Это ПО шифровало файлы жертв и лишало их доступа к собственным данным, нарушая работу компаний.
— Минюст США, пресс-релиз, 24 марта 2026 года.
Волкова арестовали 18 января 2024 года в Риме. По данным Risky Business, он предположительно уехал из России, чтобы избежать мобилизации. Итальянские власти и Управление международных дел (Office of International Affairs) Минюста США обеспечили его выдачу властям США. 25 ноября 2025 года Волков признал вину по шести пунктам обвинения и согласился выплатить компенсацию ущерба в размере не менее $9 167 198.
ФБР вышло на Волкова через Bitcoin-транзакции, одна из которых прошла из Индианаполиса (это определило юрисдикцию). Криптобиржа подтвердила, что аккаунт зарегистрирован на имя «Aleksei Olegovich Volkov». На изъятом сервере сохранились переписки между участником Yanluowang и аккаунтом chubaka.kor с предложениями доступа к сетям за деньги.
Читайте также: Сооснователь Super Micro арестован за контрабанду ИИ-серверов Nvidia в Китай на $2,5 млрд
Yanluowang появилась в конце 2021 года. В мае 2022 группировка атаковала Cisco. Компания подтвердила инцидент и связала его с посредником по продаже доступа, имевшим контакты с UNC2447 и Lapsus$. Cisco не названа в обвинительном акте Волкова, но хронология и профиль совпадают.
В ноябре 2022 Yanluowang сама стала жертвой взлома. Утекли внутренние чаты и исходный код шифровальщика. Группировка прекратила работу.
Касперский ранее обнаружила ошибку в алгоритме шифрования Yanluowang и выпустила бесплатный инструмент для расшифровки. В тот же день прокуроры предъявили обвинения Анджело Мартино (Angelo Martino III), 41 год, из Лэнд О'Лейкс, Флорида. Мартино работал переговорщиком по выкупам в DigitalMint, чикагской компании по реагированию на инциденты. Одновременно он был партнёром группировки BlackCat (ALPHV).
Пять из десяти жертв Мартино наняли DigitalMint для переговоров с вымогателями. DigitalMint назначила переговорщиком самого Мартино. Он вёл переговоры с двух сторон одновременно и передавал BlackCat конфиденциальные сведения, чтобы увеличить размер выкупа.
Шесть из десяти атак завершились выплатами на общую сумму более $75,25 млн. Два отдельных платежа превысили $25 млн каждый. Как партнёры BlackCat, Мартино и его сообщники отдавали 20% администраторам группировки. Мартино грозит до 20 лет тюрьмы. Конфисковано $9,2 млн в криптовалюте (Bitcoin, Monero, Ripple, Solana, Stellar) из 21 кошелька, а также предметы роскоши.
Двое других участников уже признали вину в декабре 2025 года. Кевин Тайлер Мартин (Kevin Tyler Martin) тоже работал в DigitalMint. Райан Клиффорд Голдберг (Ryan Clifford Goldberg) занимал должность менеджера по реагированию на инциденты в Sygnia. Оба уволены.
Мы решительно осуждаем преступное поведение этих бывших сотрудников, которое нарушило наши ценности, этические стандарты и закон. DigitalMint с самого начала сотрудничала с правоохранительными органами и не ожидает дополнительных обвинений.
— Джонатан Соломон (Jonathan Solomon), генеральный директор DigitalMint
DigitalMint узнала о расследовании в апреле 2025 года, в тот же день заблокировала доступ Мартино и уволила его на следующий. Компания не ответила на вопрос, вернула ли она деньги пострадавшим клиентам.
Как злоумышленники имеют доступ ко всем инструментам red team, так и многие безопасники имеют доступ к инструментам злоумышленников. Для небольшого числа людей в отрасли это станет огромным искушением, особенно когда они видят, сколько зарабатывают киберпреступники.
— Аллан Лиска (Allan Liska), эксперт по шифровальщикам, Recorded Future
Yanluowang прекратила работу в 2022 году. Прямой угрозы для пользователей нет. ФБР призвало компании проверять сторонних переговорщиков перед привлечением к инцидентам. Переговоры следует вести на платформах с аудитом. О любой атаке шифровальщика нужно сообщать в правоохранительные органы до обращения к внешним посредникам.
Волков продавал доступ за $1 000, а выкупы за этот доступ достигали десятков миллионов. Мартино сидел по обе стороны стола переговоров. Два дела в один день показывают обе стороны экономики шифровальщиков: поставщик, который открывает дверь, и посредник, который договаривается о цене. Оба звена оказались уязвимы для правоохранителей.
Есть новость? Станьте автором.
Мы сотрудничаем с независимыми исследователями и специалистами по кибербезопасности. Отправьте нам новость или предложите статью на рассмотрение редакции.
