Участника российской группы хакеров приговорили к 102 месяцам заключения: в чем его обвинили

Что сделал осужденный?

Министерство юстиции США сообщило о вынесении приговора 35-летнему гражданину Латвии Денису Золотаревсу, который ранее проживал в Москве. Его приговорили к 102 месяцам заключения в федеральной тюрьме за участие в деятельности масштабной российской хакерской организации. Золотаревс был не просто техническим исполнителем, а ключевой фигурой в иерархии синдиката – специалистом по ведению переговоров, психологического давления и вымогательства, пишет Cyber Press.

Смотрите также Хакеры атаковали израильские опреснительные заводы: чем это грозит жителям региона

В период с июня 2021 года по август 2023 года Золотаревс принимал активное участие в кибератаках на более 54 организации по всему миру. Организация, к которой он принадлежал, возглавлялась бывшими лидерами известной хакерской группировки Conti. Чтобы усложнить атрибуцию атак и избежать разоблачения, группа использовала различные бренды вредоносного программного обеспечения, в частности Akira, Royal, Karakurt, TommyLeaks и SchoolBoys Ransomware.

Роль Золотаревса была особенно циничной. Он подключался к делу тогда, когда жертвы отказывались платить выкуп. Его задачей был анализ похищенных данных для поиска наиболее чувствительной информации, которую можно было бы использовать как инструмент давления.

С этим приговором жестокий, безжалостный и опасный международный киберпреступник теперь за решеткой. Денисс Золотаревс помогал своей банде вымогателей получать прибыль от взломов десятков компаний,
– прокомментировал дело помощник генерального прокурора А. Тайсен Дува из уголовного отдела Министерства юстиции США.

Худший случай

Одним из самых ужасных эпизодов стала атака на детское медицинское учреждение. Когда организация отказалась платить, Золотаревс лично разослал архив с медицинскими записями детей сотням пациентов одновременно. Он призвал своих сообщников быть "Разрушителями", чтобы посеять страх среди будущих жертв. Кроме того, деятельность группы привела к отключению системы экстренной помощи 911 в одном из правительственных учреждений США, что создало прямую угрозу жизни людей, сообщает GBHackers.

Группировка действовала как легальная корпорация, имея штаб-квартиру в офисном здании в Санкт-Петербурге, Россия. Группа имела четкую иерархическую структуру и отмывала средства через сеть подставных компаний в Европе, России и США. Организация активно привлекала бывших российских правоохранителей, что давало им доступ к государственным базам данных для запугивания оппонентов и проверки новых рекрутов. Также руководство группы платило взятки, чтобы освободить своих членов призывного возраста от обязательной военной службы в России и избегало уплаты налогов, говорится в пресс-релизе на сайте Министерства юстиции США.

Сколько "заработали" хакеры?

Финансовые убытки от деятельности группы являются огромными:

• Только по подтвержденным данным по 13 компаниям потери превысили 56 миллионов долларов, из которых около 2,8 миллиона долларов было выплачено непосредственно в качестве выкупа.
• Еще 41 жертва заплатила суммарно около 13 миллионов долларов.

Однако правоохранители предполагают, что реальная сумма ущерба достигает сотен миллионов долларов.

Кто ловил преступника?

Задержание Золотаревса стало результатом международного сотрудничества под руководством ФБР и при участии правительства Сакартвело, где хакера арестовали в декабре 2023 года. После неудачных попыток обжаловать экстрадицию, в августе 2024 года его передали США. В июле 2025 года он признал себя виновным в сговоре с целью отмывания денег и мошенничества с использованием электронных средств связи.

Прокурор США Доминик С. Джерейс II подчеркнул: "Киберпреступники могут думать, что они неуязвимы, прячась за инструментами анонимизации и сложными схемами криптовалют, атакуя американских жертв из стран, которые не выдают преступников. Но преследование Золотаревса показывает, что федеральные правоохранительные органы имеют глобальный охват".

Вам также будет интересно узнать: что известно о хакерской деятельности россиян против мира и Украины в частности?

Российские хакерские группировки являются одними из самых опасных и активных в мире. Их условно разделяют на две категории: государственные АРТ-группы (Advanced Persistent Threats), действующие под руководством ГРУ, ФСБ или СВР, и криминальные группировки, которые в основном мотивированы финансовой выгодой, но нередко имеют тесные связи с Кремлем.

Sandworm – самая опасная группировка в мире

Sandworm – это АРТ-группа, действующая в рамках подразделения ГРУ №74455 и известная также как APT44, Telebots, Voodoo Bear, IRIDIUM, Seashell Blizzard и Iron Viking. Именно эту группу считают самой разрушительной хакерской силой в истории. Ее особенность в том, что Sandworm сосредотачивается не на финансовой выгоде, а на деструктивных операциях – уничтожении данных, выведении из строя критической инфраструктуры и масштабном экономическом ущербе, пишет Barracuda Networks.

• В декабре 2015 года Sandworm осуществила атаку на украинские электросети, оставив сотни тысяч людей без света.
• Ровно через год, в декабре 2016 года, они повторили атаку. Тогда Киев на час потерял около пятой части электроснабжения. Вредоносное ПО Industroyer, которое при этом применялось, потенциально могло уничтожить физическое оборудование и привести к значительно более длительному отключению.

Самой известной операцией Sandworm стал вирус NotPetya в 2017 году. Он распространился через механизм обновления украинского бухгалтерского программного обеспечения M.E.Doc и, хотя выглядел как вымогатель, фактически необратимо уничтожал данные.

Общая сумма убытков превысила 10 миллиардов долларов, что делает NotPetya самой дорогой кибератакой в истории. В Украине остановились банкоматы, железнодорожный и почтовый транспорт, а больницы вышли из строя. От атаки пострадали крупнейшие компании мира – от фармацевтических до логистических.

Начиная с 2025 года, Sandworm развернул новые вайперы – ZEROLOT и Sting – против государственных учреждений, энергетического и логистического секторов и даже зернового сектора Украины, пытаясь подорвать военную экономику страны. Атаки на зерновых экспортеров являются редким явлением в предыдущих кампаниях и свидетельствуют о целенаправленных усилиях разрушить одну из ключевых экономических артерий Украины. Об этом сообщали такие издания, как Infosecurity Magazine и Industrial Cyber.

Fancy Bear (APT28) – мастера шпионажа и вмешательства в выборы

APT28, известный также как Fancy Bear, связан с подразделением ГРУ №26165 и проводит операции против парламентов, телерадиовещателей и избирательных кампаний в Европе. Именно APT28 стоит за одними из самых громких хакерских скандалов в США: взломом серверов Демократической партии накануне выборов 2016 года и публикацией похищенных писем через WikiLeaks. Группа также атаковала правительственные сети Франции, Германии и Польши.

Fancy Bear совершенствует эксплуатацию XSS-уязвимостей в веб-почтовых сервисах и расширяет свою операцию RoundPress на различные почтовые службы, в частности успешно использовал уязвимость нулевого дня в почтовом сервере MDaemon против украинских компаний. SSSCIP также сообщила, что APT28 эксплуатировал XSS-уязвимости в Roundcube и Zimbra для так называемых zero-click атак – когда жертве даже не нужно ничего нажимать, пишет Security Affairs.

Gamaredon – самые активные против Украины

Gamaredon, хакерская группировка, связана с ФСБ России и известна также как Primitive Bear, UNC530 и Aqua Blizzard, остается самым продуктивным актором, атакующим Украину. Группа отслеживается еще с 2013 года и специализируется на фишинговых документах с вредоносным программным обеспечением собственной разработки.

В середине 2025 года зафиксировано редкое явление: Gamaredon выборочно развернул бэкдоры группировки Turla, что свидетельствует о сотрудничестве между различными российскими хакерскими подразделениями. Также группа начала применять новый стилер PteroBox, использующий Dropbox для передачи украденных файлов, писало издание Infosecurity Magazine.

APT29 (Cozy Bear) и атака на SolarWinds

APT29, известный как Nobelium или Midnight Blizzard, связан с СВР России и ведет долговременные шпионские кампании против правительств и технологических компаний. Самая громкая операция этой группы – взлом платформы SolarWinds в 2020 году, через который злоумышленники получили доступ к сетям более 18 000 организаций, в том числе к федеральным ведомствам США. Это считается одной из крупнейших операций киберразведки в истории.

RomCom – сочетание шпионажа и финансовых преступлений

RomCom продемонстрировал расширенные возможности, развернув атаки нулевого дня против Mozilla Firefox (CVE-2024-9680) и Microsoft Windows (CVE-2024-49039). В середине 2025 года RomCom также эксплуатировал уязвимость нулевого дня в WinRAR, что позволяло выполнять вредоносный код только открытием специально созданного архивного файла, и атаковал финансовые, производственные, оборонные и логистические компании в Европе и Канаде, сообщало Help Net Security.

Криминальные группировки: Evil Corp, LockBit и другие

Параллельно с государственными хакерами в России действуют криминальные группировки, зарабатывающие миллиарды на вымогательстве. Evil Corp – фактически семейный бизнес из Москвы, переросший в крупный киберпреступный синдикат и требовавший не менее 300 миллионов долларов у жертв по всему миру, в частности в здравоохранении, критической инфраструктуре и правительстве. Британское агентство NCA установило, что Evil Corp имело "привилегированные" отношения с российским государством и нередко выполняло кибератаки на страны НАТО по заказу российской разведки. Об этом сообщали издания HM Revenue and Customs і TechCrunch.

LockBit считается одной из самых ненасытных вымогательских группировок в мире. Власти установили, что группа требовала до 1 миллиарда долларов от своих жертв. По данным Chainalysis, только в 2023 году операторы вымогательского ПО (преимущественно русскоязычные группы) получили рекордные 1,25 миллиарда долларов, а в 2024-м эта сумма снизилась до 813 миллионов – преимущественно из-за усиления деятельности правоохранителей, пишет HIPAA Journal.

Общая картина и масштаб угрозы

Только в 2024 году количество российских кибератак на Украину выросло почти на 70% – до 4 315 инцидентов, направленных против критической инфраструктуры, госуслуг, энергетики и обороны. В первой половине 2025 года Украина фиксировала уже 3 018 киберинцидентов, а хакеры все активнее используют искусственный интеллект для генерации фишинговых писем и написания вредоносного кода.

Россия концептуально оформила эти операции в рамках доктрины "информационного противоборства", сочетающей технические кибератаки с психологическими операциями. Подразделения ГРУ, ФСБ и СВР руководят хакерскими коллективами, атакующими правительства, инфраструктуру и гражданское общество в Европе, Северной Америке и Азии. При этом грань между государственными и криминальными хакерами часто намеренно размыта: Россия использует криминальные группировки для "грязных" операций, сохраняя при этом возможность отрицать свою причастность.

Кто такие Conti: история одной из самых мерзких группировок

Группировка Conti – это не просто хакеры, а полноценная киберпреступная корпорация, которая в пиковый момент работала как бизнес с менеджментом, зарплатами и внутренними процессами.

Оно появилось в конце 2019 года как эволюция более ранних вредоносных программ, в частности Ryuk, и было тесно связано с российской киберкриминальной средой, в частности группой Wizard Spider. Conti работала по модели RaaS (ransomware-as-a-service) – то есть фактически "сдавала в аренду" свое вредоносное ПО другим преступникам, получая долю от выкупов.

Характер деятельности

Их деятельность была максимально агрессивной и системной. После проникновения в сеть жертвы (часто через фишинг или уязвимости) вирус не только шифровал файлы, но и распространялся по всей инфраструктуре, блокируя работу компании.

Параллельно Conti практиковала "двойной шантаж" – они воровали данные и угрожали их обнародовать, если выкуп не будет уплачен. По оценкам, только к 2022 году они атаковали сотни организаций – от больниц до правительственных структур, а общая сумма выплат превысила 150 миллионов долларов.

Ключевой момент – это их внутренняя структура. Благодаря утечке стало известно, что Conti функционировала как классическая IT-компания: были менеджеры, HR, разработчики, операторы переговоров с жертвами. Штат мог превышать 100 человек, а зарплаты программистов составляли тысячи долларов в месяц. Это не "хаотичные хакеры", а хорошо организованная индустрия киберпреступности с четкой иерархией.

Conti и война против Украины

Поворотным моментом стала полномасштабная война России против Украины в 2022 году. Conti открыто поддержала Кремль и даже пригрозила кибератаками в ответ на действия Запада.

Это решение было стратегической ошибкой. Уже через несколько дней анонимный инсайдер (вероятно, связанный с Украиной) слил более 60 000 внутренних сообщений, начальный код и детали операций группы. Утечка фактически "раздел" Conti перед миром: стали известны их методы, структура, внутренние конфликты и даже возможные связи с российскими спецслужбами.

После этого начался распад. Формально группировка прекратила существование уже в мае 2022 года, но это не значит, что люди исчезли. Часть участников разошлась по другим хакерским группам или создала новые банды. Это типичная эволюция киберпреступности: "бренд" умирает, но команда продолжает работать под другими названиями

По состоянию на сегодня Conti как структура уже не существует, но ее наследие живо:

• Во-первых, ее код и инструменты продолжают использовать другие группировки.
• Во-вторых, бывшие участники фигурируют в новых операциях и даже в расследованиях правоохранителей – например, международные операции 2024 – 2025 годов прямо связывают отдельных людей из Conti с другими киберпреступными сетями, пишет The Guardian.

Отдельное интересное развитие – новые утечки в 2025 году, где анонимный инсайдер начал раскрывать личности ключевых участников. Это еще один удар по экосистеме, потому что главная валюта таких группировок – анонимность.