Техно Інтернет Учасника російської групи хакерів засудили до 102 місяців ув'язнення: у чому його звинуватили

6 травня, 17:54

12 хв

Учасника російської групи хакерів засудили до 102 місяців ув'язнення: у чому його звинуватили

Хакер з Латвії, який працював на російську групу, сяде на 102 місяці – що він зробив

Учасник російського хакерського угруповання отримав тюремний термін / Колаж 24 Каналу/Unsplash/Freepik

Суд у США виніс вирок учаснику російського хакерського синдикату. Хакер, який спеціалізувався на психологічному тиску та шантажі, проведе за ґратами понад вісім років. Його історія розкриває цинічні методи роботи сучасних кіберзлочинців та межі їхньої уявної невразливості.

Що зробив засуджений?

Міністерство юстиції США повідомило про винесення вироку 35-річному громадянину Латвії Деніссу Золотарьовсу, який раніше проживав у Москві. Його засудили до 102 місяців ув'язнення у федеральній в'язниці за участь у діяльності масштабної російської хакерської організації. Золотарьовс був не просто технічним виконавцем, а ключовою фігурою в ієрархії синдикату – фахівцем із ведення переговорів, психологічного тиску та вимагання, пише Cyber Press.

Дивіться також Хакери атакували ізраїльські опріснювальні заводи: чим це загрожує жителям регіону

У період з червня 2021 року по серпень 2023 року Золотарьовс брав активну участь у кібератаках на понад 54 організації по всьому світу. Організація, до якої він належав, очолювалася колишніми лідерами відомого хакерського угруповання Conti. Щоб ускладнити атрибуцію атак та уникнути викриття, група використовувала різні бренди шкідливого програмного забезпечення, зокрема Akira, Royal, Karakurt, TommyLeaks та SchoolBoys Ransomware.

Роль Золотарьовса була особливо цинічною. Він підключався до справи тоді, коли жертви відмовлялися платити викуп. Його завданням був аналіз викрадених даних для пошуку найбільш чутливої інформації, яку можна було б використати як інструмент тиску.

З цим вироком жорстокий, безжальний і небезпечний міжнародний кіберзлочинець тепер за ґратами. Денісс Золотарьовс допомагав своїй банді вимагачів отримувати прибуток від зломів десятків компаній,
– прокоментував справу помічник генерального прокурора А. Тайсен Дува з кримінального відділу Міністерства юстиції США.

Найгірший випадок

Одним із найбільш жахливих епізодів стала атака на дитячу медичну установу. Коли організація відмовилася платити, Золотарьовс особисто розіслав архів із медичними записами дітей сотням пацієнтів одночасно. Він закликав своїх спільників бути "РУЙНІВНИКАМИ", щоб посіяти страх серед майбутніх жертв. Крім того, діяльність групи призвела до вимкнення системи екстреної допомоги 911 в одній із урядових установ США, що створило пряму загрозу життю людей, повідомляє GBHackers.

Угруповання діяло як легальна корпорація, маючи штаб-квартиру в офісній будівлі в Санкт-Петербурзі, Росія. Група мала чітку ієрархічну структуру та відмивала кошти через мережу підставних компаній у Європі, Росії та США. Організація активно залучала колишніх російських правоохоронців, що давало їм доступ до державних баз даних для залякування опонентів та перевірки нових рекрутів. Також керівництво групи платило хабарі, щоб звільнити своїх членів призовного віку від обов'язкової військової служби в Росії та уникало сплати податків, йдеться в пресрелізі на сайті Міністерства юстиції США.

Скільки "заробили" хакери?

Фінансові збитки від діяльності групи є величезними:

Лише за підтвердженими даними щодо 13 компаній втрати перевищили 56 мільйонів доларів, з яких близько 2,8 мільйона доларів було виплачено безпосередньо як викуп.
Ще 41 жертва заплатила сумарно близько 13 мільйонів доларів.

Проте правоохоронці припускають, що реальна сума збитків сягає сотень мільйонів доларів.

Хто ловив злочинця?

Затримання Золотарьовса стало результатом міжнародної співпраці під керівництвом ФБР та за участі уряду Сакартвело, де хакера заарештували в грудні 2023 року. Після невдалих спроб оскаржити екстрадицію, в серпні 2024 року його передали США. У липні 2025 року він визнав себе винним у змові з метою відмивання грошей та шахрайства з використанням електронних засобів зв'язку.

Прокурор США Домінік С. Джерейс II підкреслив: "Кіберзлочинці можуть думати, що вони невразливі, ховаючись за інструментами анонімізації та складними схемами криптовалют, атакуючи американських жертв з країн, які не видають злочинців. Але переслідування Золотарьовса показує, що федеральні правоохоронні органи мають глобальне охоплення".

Вам також буде цікаво дізнатися: що відомо про хакерську діяльність росіян проти світу та України зокрема?

Російські хакерські угруповання є одними з найнебезпечніших і найактивніших у світі. Їх умовно поділяють на дві категорії: державні АРТ-групи (Advanced Persistent Threats), що діють під керівництвом ГРУ, ФСБ або СВР, та кримінальні угруповання, які здебільшого мотивовані фінансовою вигодою, але нерідко мають тісні зв'язки з Кремлем.

Sandworm – найнебезпечніше угруповання у світі

Sandworm – це АРТ-група, що діє в рамках підрозділу ГРУ №74455 і відома також як APT44, Telebots, Voodoo Bear, IRIDIUM, Seashell Blizzard та Iron Viking. Саме цю групу вважають найруйнівнішою хакерською силою в історії. Її особливість у тому, що Sandworm зосереджується не на фінансовій вигоді, а на деструктивних операціях – знищенні даних, виведенні з ладу критичної інфраструктури та масштабному економічному збитку, пише Barracuda Networks.

У грудні 2015 року Sandworm здійснила атаку на українські електромережі, залишивши сотні тисяч людей без світла.
Рівно через рік, у грудні 2016 року, вони повторили атаку. Тоді Київ на годину втратив близько п'ятої частини електропостачання. Шкідливе ПЗ Industroyer, яке при цьому застосовувалося, потенційно могло знищити фізичне обладнання і призвести до значно тривалішого відключення.

Найвідомішою операцією Sandworm став вірус NotPetya у 2017 році. Він поширився через механізм оновлення українського бухгалтерського програмного забезпечення M.E.Doc і, хоча виглядав як здирник, фактично незворотно знищував дані.

Загальна сума збитків перевищила 10 мільярдів доларів, що робить NotPetya найдорожчою кібератакою в історії. В Україні зупинилися банкомати, залізничний і поштовий транспорт, а лікарні вийшли з ладу. Від атаки постраждали найбільші компанії світу – від фармацевтичних до логістичних.

Починаючи з 2025 року, Sandworm розгорнув нові вайпери – ZEROLOT і Sting – проти державних установ, енергетичного і логістичного секторів та навіть зернового сектору України, намагаючись підірвати воєнну економіку країни. Атаки на зернових експортерів є рідкісним явищем у попередніх кампаніях і свідчать про цілеспрямовані зусилля зруйнувати одну з ключових економічних артерій України. ПРо це повідомляли такі видання, як Infosecurity Magazine та Industrial Cyber.

Fancy Bear (APT28) – майстри шпигунства і втручання у вибори

APT28, відомий також як Fancy Bear, пов'язаний з підрозділом ГРУ №26165 і проводить операції проти парламентів, телерадіомовників і виборчих кампаній у Європі. Саме APT28 стоїть за одними з найгучніших хакерських скандалів у США: зламом серверів Демократичної партії напередодні виборів 2016 року та публікацією викрадених листів через WikiLeaks. Група також атакувала урядові мережі Франції, Німеччини та Польщі.

Fancy Bear вдосконалює експлуатацію XSS-вразливостей у вебпоштових сервісах і розширює свою операцію RoundPress на різні поштові служби, зокрема успішно використав вразливість нульового дня у поштовому сервері MDaemon проти українських компаній. SSSCIP також повідомила, що APT28 експлуатував XSS-вразливості у Roundcube і Zimbra для так званих zero-click атак – коли жертві навіть не потрібно нічого натискати, пише Security Affairs.

Gamaredon – найактивніші проти України

Gamaredon, хакерське угруповання, пов'язане з ФСБ Росії і відоме також як Primitive Bear, UNC530 та Aqua Blizzard, залишається найпродуктивнішим актором, що атакує Україну. Група відстежується ще з 2013 року і спеціалізується на фішингових документах із шкідливим програмним забезпеченням власної розробки.

У середині 2025 року зафіксоване рідкісне явище: Gamaredon вибірково розгорнув бекдори угруповання Turla, що свідчить про співпрацю між різними російськими хакерськими підрозділами. Також група почала застосовувати новий стілер PteroBox, що використовує Dropbox для передачі вкрадених файлів, писало видання Infosecurity Magazine.

APT29 (Cozy Bear) і атака на SolarWinds

APT29, відомий як Nobelium або Midnight Blizzard, пов'язаний із СВР Росії і веде довготривалі шпигунські кампанії проти урядів і технологічних компаній. Найгучніша операція цієї групи – злам платформи SolarWinds у 2020 році, через який зловмисники отримали доступ до мереж понад 18 000 організацій, зокрема до федеральних відомств США. Це вважається однією з найбільших операцій кіберрозвідки в історії.

RomCom – поєднання шпигунства та фінансових злочинів

RomCom продемонстрував розширені можливості, розгорнувши атаки нульового дня проти Mozilla Firefox (CVE-2024-9680) і Microsoft Windows (CVE-2024-49039). У середині 2025 року RomCom також експлуатував вразливість нульового дня у WinRAR, що дозволяло виконувати шкідливий код лише відкриттям спеціально створеного архівного файлу, і атакував фінансові, виробничі, оборонні та логістичні компанії в Європі й Канаді, повідомляло Help Net Security.

Кримінальні угруповання: Evil Corp, LockBit та інші

Паралельно з державними хакерами в Росії діють кримінальні угруповання, що заробляють мільярди на здирництві. Evil Corp – фактично сімейний бізнес із Москви, що переросло у великий кіберзлочинний синдикат і вимагало щонайменше 300 мільйонів доларів у жертв по всьому світу, зокрема в охороні здоров'я, критичній інфраструктурі та уряді. Британське агентство NCA встановило, що Evil Corp мало "привілейовані" відносини з російською державою і нерідко виконувало кібератаки на країни НАТО на замовлення російської розвідки. Про це повідомляли видання HM Revenue and Customs і TechCrunch.

LockBit вважається одним із найненаситніших здирницьких угруповань у світі. Влада встановила, що група вимагала до 1 мільярда доларів від своїх жертв. За даними Chainalysis, лише у 2023 році оператори здирницького ПЗ (переважно російськомовні групи) отримали рекордні 1,25 мільярда доларів, а у 2024-му ця сума знизилася до 813 мільйонів – переважно через посилення діяльності правоохоронців, пише HIPAA Journal.

Загальна картина та масштаб загрози

Лише у 2024 році кількість російських кібератак на Україну зросла майже на 70% – до 4 315 інцидентів, спрямованих проти критичної інфраструктури, держпослуг, енергетики та оборони. У першій половині 2025 року Україна фіксувала вже 3 018 кіберінцидентів, а хакери все активніше використовують штучний інтелект для генерації фішингових листів і написання шкідливого коду.

Росія концептуально оформила ці операції в рамках доктрини "інформаційного протиборства", що поєднує технічні кібератаки з психологічними операціями. Підрозділи ГРУ, ФСБ і СВР керують хакерськими колективами, що атакують уряди, інфраструктуру і громадянське суспільство в Європі, Північній Америці та Азії. При цьому межа між державними і кримінальними хакерами часто навмисно розмита: Росія використовує кримінальні угруповання для "брудних" операцій, зберігаючи при цьому можливість заперечувати свою причетність.

Хто такі Conti: історія одного з наймерзенніших угруповань

Угруповання Conti – це не просто хакери, а повноцінна кіберзлочинна корпорація, яка у піковий момент працювала як бізнес із менеджментом, зарплатами та внутрішніми процесами.

Воно з’явилося наприкінці 2019 року як еволюція більш ранніх шкідливих програм, зокрема Ryuk, і було тісно пов’язане з російським кіберкримінальним середовищем, зокрема групою Wizard Spider. Conti працювала за моделлю RaaS (ransomware-as-a-service) – тобто фактично "здавала в оренду" своє шкідливе ПЗ іншим злочинцям, отримуючи частку від викупів.

Характер діяльності

Їхня діяльність була максимально агресивною і системною. Після проникнення в мережу жертви (часто через фішинг або вразливості) вірус не лише шифрував файли, а й поширювався по всій інфраструктурі, блокуючи роботу компанії.

Паралельно Conti практикувала "подвійний шантаж" – вони крали дані і погрожували їх оприлюднити, якщо викуп не буде сплачено. За оцінками, лише до 2022 року вони атакували сотні організацій – від лікарень до урядових структур, а загальна сума виплат перевищила 150 мільйонів доларів.

Ключовий момент – це їхня внутрішня структура. Завдяки витоку стало відомо, що Conti функціонувала як класична IT-компанія: були менеджери, HR, розробники, оператори переговорів із жертвами. Штат міг перевищувати 100 осіб, а зарплати програмістів становили тисячі доларів на місяць. Це не "хаотичні хакери", а добре організована індустрія кіберзлочинності з чіткою ієрархією.

Conti та війна проти України

Поворотним моментом стала повномасштабна війна Росії проти України у 2022 році. Conti відкрито підтримала Кремль і навіть пригрозила кібератаками у відповідь на дії Заходу.

Це рішення було стратегічною помилкою. Уже за кілька днів анонімний інсайдер (ймовірно, пов’язаний з Україною) злив понад 60 000 внутрішніх повідомлень, початковий код і деталі операцій групи. Витік фактично "роздягнув" Conti перед світом: стали відомі їхні методи, структура, внутрішні конфлікти і навіть можливі зв’язки з російськими спецслужбами.

Після цього почався розпад. Формально угруповання припинило існування вже у травні 2022 року, але це не означає, що люди зникли. Частина учасників розійшлася по інших хакерських групах або створила нові банди. Це типова еволюція кіберзлочинності: "бренд" помирає, але команда продовжує працювати під іншими назвами

Станом на сьогодні Conti як структура вже не існує, але її спадщина жива:

По-перше, її код і інструменти продовжують використовувати інші угруповання.
По-друге, колишні учасники фігурують у нових операціях і навіть у розслідуваннях правоохоронців – наприклад, міжнародні операції 2024 – 2025 років прямо пов’язують окремих людей із Conti з іншими кіберзлочинними мережами, пише The Guardian.

Окремий цікавий розвиток – нові витоки у 2025 році, де анонімний інсайдер почав розкривати особистості ключових учасників. Це ще один удар по екосистемі, бо головна валюта таких угруповань – анонімність.