Федеральная криминальная полиция Германии и криминальная полиция земли Баден-Вюртемберг считают российского программиста Николая К. членом хакерской группы REvil. Об этом сообщают газета Zeit и «Баварское радио» без указания источника информации.
Его установили в ходе расследования атаки 2019 года на театр Штутгарта — столицы Баден-Вюртемберга. Издания утверждают, что номер связанного с группой биткоин-кошелька был указан в профиле хакера в телеграме; привязанный к нему номер телефона ранее использовался в интернете вместе с email-адресом, с которого регистрировали страницу хакера в инстаграме.
Профиль россиянина был закрыт, там был виден статус «In Crypto we trust»; при этом его жена Екатерина выкладывала фотографии с отдыха в Крыму, Турции, Дубае и на Мальдивах, а также фото их «дома в городке на юге России с бассейном». Журналисты пишут, что немецкие полицейские «следят за их соцсетям очень внимательно» и «надеются обнаружить, когда Николай К. отправится отдыхать в страну, с которой у Германии есть договоренности о выдаче [обвиняемых]».
Официально в ведомствах отказались от комментариев; неназванные собеседники изданий, участвующие в расследовании, объяснили общение с журналистами тем, что «необходимо показывать, как успешно могут работать немецкие власти».
REvil, также известная как Sodin и Sodinokibi, распространяла свою программу-вымогатель через партнеров-хакеров; с его помощью они взламывали крупные промышленные предприятия, шифровали данные и требовали выкуп. По данным Zeit, немецкая полиция считает этих же людей причастными к более ранним атакам группы GandCrab. Их связывали с Россией из-за характерных элементов в коде шифровальщика и переписок между участниками группы на русском языке, отмечали в инжиниринговом центре SafeNet.
Группа утверждала, что за 2020 год заработала сто миллионов долларов. Весной они потребовали 50 млн долларов у Acer — тогда это был самый крупный запрашиваемый выкуп, отмечали в «Лаборатории Касперского». В апреле группа сообщила о взломе тайваньского поставщика Apple и выложила чертежи их ноутбука во время презентации устройств компании.
В июне крупнейший производитель свинины и говядины JBS из-за влома приостановил работу и заплатил хакерам 11 млн долларов выкупа. В июле REvil взяла ответственность за атаку на американскую IT-компанию Kaseya, от которой пострадали несколько сотен их клиентов; за возобновление работы компании хакеры требовали 70 млн долларов.
Вскоре после этого в середине июля сайты REvil в даркнете, включая сайты, где обсуждали и получали выкуп от пострадавших компаний, исчезли. New York Times и «Би-би-си» связывали это с телефонным разговором президентов Джо Байдена и Владимира Путина. В администрации Байдена говорили, что они обсуждали прекращение кибератак со стороны групп, базирующихся на территории России; в сообщении Кремля это не упоминалось.