Блеск и нищета королей хакерского мира: Daily Storm публикует профайлы подозреваемых по делу группировки REvil

Хакеры REvil зарабатывали сотни миллионов долларов, шифруя данные крупных компаний и требуя за них выкуп. Но зимой 2022 года одна из агрессивнейших группировок понесла серьезный урон. В январе ФСБ по запросу США провела обыски у 14 человек, однако известны имена лишь восьми подозреваемых — их заключили под стражу. Как выяснил Daily Storm, часть людей учились в одной гимназии. Один из них мог служить в армии вплоть до момента задержания. Другой владел винным рестораном в историческом центре Санкт-Петербурга. До определенного времени предполагаемые хакеры не следили за сетевой гигиеной, поэтому узнать об их жизни мы смогли просто благодаря именам, опубликованным в прессе. Но есть и те, кого следствие не называло. Например, жителя Барнаула Евгения Полянина — человека, которого открыто разыскивает ФБР. Он мог увлечься хакерством еще в 15-летнем возрасте, а начиналось все с заработка на российском порнотрафике.

«Лежать! — кричит сотрудник ФСБ, одетый «по гражданке», и валит на пол растерянного мужчину в черной майке и трусах. До этого ничего не подозревающий человек открыл квартирную дверь другому сотруднику, замаскированному в форму работника ЖКХ. — Ноги под себя. К стене!»

Кадры задержания членов хакерской группировки REvil облетели весь мир. 14 января 2022 года пресс-служба ФСБ сообщила о ликвидации «преступного сообщества REvil». ФСБ получила информацию о лидере банды от компетентных органов США. После этого сотрудникам госбезопасности удалось установить полный состав группировки и причастность ее членов к неправомерному обороту средств, следует из пресс-релиза силового ведомства. 

«Задержание REvil — это результат начатой работы после переговоров Путина и Байдена в Женеве», — сказал пресс-секретарь президента Дмитрий Песков.

Следственные действия прошли в Москве, Санкт-Петербурге, Московской, Ленинградской и Липецкой областях. В ФСБ уточнили, что провели обыски по 25 адресам у 14 участников группировки и изъяли более 426 миллионов рублей, в том числе в криптовалюте, 600 тысяч долларов США, 500 тысяч евро, компьютерную технику и криптокошельки, а также 20 автомобилей премиум-класса. В общей сложности сумма изъятых активов превышает полмиллиарда рублей.

Задержанным предъявлены обвинения по второй части статьи о «Неправомерном обороте средств платежей» (187 УК РФ). 15 января Тверской суд Москвы отправил под арест восемь фигурантов: Артема Заеца, Михаила Головачука, Руслана Хансвярова, Алексея Малоземова, Даниила Пузыревского, Дмитрия Коротаева, Андрея Бессонова и Романа Муромского. Сроки ареста установили на два месяца.

Большинство подозреваемых — молодые люди, которым нет и 30 лет. Daily Storm выяснил подробности о жизни каждого из них: где они учились, кем работали и чем увлекались до того момента, когда стали фигурантами дела REvil. 

Юность в сапогах 

Выпустившись из школы, петербуржец Артем Заец отправился служить в ВДВ. В декабре 2016 года он демобилизовался из армии. После окончания срочной службы Заец устроился работать в полицию и параллельно начал собирать документы для поступления в Военную академию материально-технического обеспечения имени генерала Хрулева. Артем планировал связать свою жизнь с военной карьерой, рассказывает Daily Storm его бывшая девушка Ольга (имя изменено по просьбе собеседника). 

Прослужив в полиции около года, Заец поступил в академию, где до июня 2021 года учился по специальности «военный логист». Во время учебы он проявил большие успехи, также Заец принимал участие в парадах победы, утверждает Ольга.

«В 2019 году мы с Артемом так и познакомились, — продолжает рассказ собеседница. — Мы переписывались во «ВКонтакте», а потом я приехала посмотреть на то, как ребята готовятся к параду. Я наблюдала, как он чеканил с товарищами по плацу, а когда они закончили, мы наконец встретились лично».

После выпуска из академии Артема Заеца отправили на военные сборы в поселок Мулино Нижегородской области, где он пробыл с июня по октябрь 2021 года, рассказывает Ольга.

«На сборах у Артема совершенно не было доступа к связи», — уточняет его бывшая девушка.

В октябре, после возвращения со сборов, 23-летний Артем отправился служить по контракту в город Сертолово, бывший военный поселок в Ленинградской области. Артем Заец был старшиной роты, в звании прапорщика, вплоть до момента задержания в середине января 2022 года, утверждает Ольга. Она не смогла прислать корреспонденту фото трудовой книжки Заеца, сославшись на то, что у нее нет объективной возможности получить согласие Артема на фотографирование его личных документов. При этом на суде об избрании меры пресечения молодой человек был в военной форме. 

«С дисциплиной там [на службе] не забалуешь, — продолжает рассказывать Ольга. — В пять утра Артем выходил из дома, чтобы в 07:00 быть на построении. Домой возвращался около полуночи, так как выходил из части после отбоя, в 22:00. Конечно, бывали дни, когда он приезжал раньше, но это, скорее, исключение из правил. Артем — очень аккуратный и пунктуальный человек, думаю, на это повлияла служба и казарменное положение».

Когда Артему было 10 лет, он посещал курсы по информатике в рамках школьной программы, уточняет Ольга. Однако о профессиональном увлечении «хакерством» речи быть не могло, утверждает она, ссылаясь на его постоянную занятость на службе:

«Дома он мог поиграть в видеоигры, но такая возможность появлялась крайне редко, так как, повторюсь: на службу он уходил в пять утра, а возвращался около полуночи. Сил хватало только на ужин и сон».

Со своего Telegram-аккаунта Заец состоял в чате «Теневой рынок | MONDAY». Это общедоступная беседа для любого пользователя мессенджера. Ее участники, в том числе, обсуждали «серые» способы заработка. К моменту публикации чат временно заморожен администрацией мессенджера за публикацию «нелегальных материалов». 

Ольга сообщила корреспонденту Daily Storm, что была шокирована, когда Заеца задержали, и уверена, что он попал в эту историю «по простоте душевной». Тем не менее, она надеется, что следствие «во всем разберется». 

«Этап предварительного следствия — это очень ответственная и кропотливая работа. Много работы. А итоги мы будем подводить чуть позже», — комментирует ситуацию со своим подзащитным Ляховецкая Светлана, адвокат Адвокатской палаты города Москвы. 

Daily Storm направил запрос в Министерство обороны.

Со школьной скамьи

Артем Заец учился в англо-испанской гимназии № 205, в Санкт-Петербурге. С шестого по девятый класс его однокашниками были: Михаил Головачук, Алексей Малоземов, Руслан Хансвяров и Даниил Пузыревский. Они также фигурируют среди задержанных по делу REvil. Те, в свою очередь, познакомились еще раньше, в начальных классах.

В соцсети «ВКонтакте» сохранились фотографии из альбома «Г» класса, в котором учились фигуранты дела REvil. Качество фото плохое, но на нем можно разглядеть Хансвярова, Головачука, Пузыревского и Малоземова.

В школьные годы ребята жили обычной жизнью питерских подростков конца «нулевых»: играли в Counter Strike и GTA San Andreas, смотрели мультсериал «Южный парк», играли в футбол и болели за «Зенит», следует из информации их профилей в соцсетях. 

Когда Артем Заец пошел в армию, его общение с однокашниками прекратилось и поддерживалось только на уровне «поздравить друг друга с праздниками», утверждает его бывшая девушка. Однако часть друзей продолжала тесно контактировать между собой. 

Летом 2020 года Даниил Пузыревский и Руслан Хансвяров вместе с подругами поехали на отдых в Карелию, следует из ролика, опубликованного одной из девушек. На видеозаписи можно заметить автомобиль Mercedes-Benz, за рулем которого сидел один из ребят. Примечательно, что у их друга и еще одного фигуранта дела REvil Михаила Головачука есть татуировка с надписью «karelia2020» — ее можно заметить на кадрах оперативной съемки, опубликованной ФСБ.

В университете Михаил Головачук учился по специальности «транспортный менеджмент», любил спорт, а в свободное время участвовал в небольших турнирах по Counter Strike. Его друг с начальной школы, Руслан Хансвяров, в юности увлекался футболом и ставками на спорт: он даже создал группу во «ВКонтакте», где собирался рассказывать о спорте «с грязной стороны — с продажными судьями, игроками и букмекерами».

Связанные одной бизнес-целью

В апреле 2020 года один из участников поездки в Карелию —  Даниил Пузыревский, занялся бизнесом. Он стал совладельцем винного ресторана Vincent, расположенного в историческом центре Санкт-Петербурга, в минуте ходьбы от Мариинского театра, следует из данных «СПАРК-Интерфакс». 

«Vincent — это место, где обедают примы Мариинского театра и его художественный руководитель Валерий Гергиев. В Vincent за вкусным ужином заходили музыкант Сергей Шнуров, композитор Родион Щедрин, актеры Сергей Безруков и Рэйф Файнс и многие другие известные люди», — указано на главной странице сайта ресторана.

Второй совладелец ресторана — Александр Скоробогатов. Он тоже учился в 205-й гимназии, судя по его старой странице во «ВКонтакте». С основного профиля Скоробогатов в последний раз заходил в Сеть 13 января. Тогда же были онлайн большинство фигурантов дела REvil. 

«Органы забрали его [Скоробогатова] в тот же день, когда забирали других одноклассников, — утверждает Daily Storm собеседник, знакомый с Александром. — Но он единственный, кого отпустили домой. Насколько я знаю, в Москву (там проходил суд об избрании меры пресечения задержанным. — Примеч. Daily Storm) его уже не везли».

Жена Скоробогатова в разговоре с корреспондентом Daily Storm сообщила, что у нее «нет никакой информации», и добавила его в «черный список». 

24-летние Даниил Пузыревский и Александр Скоробогатов были «состоятельными людьми», утверждает другой их знакомый. Вероятно, они дружили семьями: в 2021 году Пузыревский, согласно данным «СПАРК-Интерфакс», стал совладельцем компании ООО «Ред Стар Софтваре» вместе с отцом Скоробогатова — Кириллом Скоробогатовым. По состоянию на 2020 год предприятие занималось производством аппаратуры для радио, телевидения и связи.

На год позже Пузыревского бизнесом занялся и его бывший одноклассник Алексей Малоземов — заядлый любитель рыбалки. В 2021 году он стал индивидуальным предпринимателем в сфере торговли рыболовными принадлежностями. Малоземов владеет магазином «Рыбачелло», расположенном в Московском районе Санкт-Петербурга. Алексей Малоземов — единственный из компании друзей, кто выкладывал фотографии «автомобилей премиум-класса» в публичный доступ. Сейчас его Instagram удален, но в «Яндексе» сохранились фотографии Алексея за рулем Mercedes Benz.

«Убей чертика» 

Самый старший среди известных задержанных по делу REvil — житель Москвы, выпускник МГТУ «Станкин», 33-летний Роман Муромский. Он работал программистом, в частности, разрабатывал сайты для интернет-магазинов и flash-игры для «ВКонтакте»: «Убей чертика», где нужно было отстреливать чертей под «позитивную музыку», и сравнительно популярную игру «Холмики» (около 50 тысяч пользователей).

Один из онлайн-псевдонимов Муромского — gipperion. В 2019 году под этим ником на сайте Pastebin был размещен исходный код, предположительно, использующий брутфорс («хакерский» инструмент для перебора паролей). Сейчас этот код удален. Стоит отметить, что на следующий день после ареста Муромского, 15 января, страница еще была доступна: гендиректор Transparency International (организация, признанная иностранным агентом) Илья Шуманов в своем Telegram-канале обратил внимание на эту часть кода.

На сайте автолюбителей Drive2 указано, что в пользовании Муромского было как минимум две машины. Их нельзя назвать премиальными: это Rover 25 Hyperion и MG ZT Dark Soul.

В соцсети «ВКонтакте» Муромский есть в списке друзей у Алексея Малоземова.

Адвокат Романа Муромского не стал отвечать на вопросы Daily Storm о своем подзащитном, сославшись на то, что «пока он только знакомится с ситуацией».

Курьер-стример

В 2016 году Дмитрий Коротаев, житель Санкт-Петербурга, устроился работать курьером в компанию «Газстрой Северо-Запад», следует из информации из архивной версии его страницы во «ВКонтакте». Он проработал в этой должности как минимум до конца 2019 года, рассказывает его знакомая, пожелавшая сохранить анонимность. 

«После 2019 года наше общение с ним оборвалось. А когда я его знала, он работал курьером и у него ничего не было (в материальном плане. — Примеч. Daily Storm)», — уточняет знакомая.

Дмитрий увлекался видеоиграми и в 2018 году стал стримером на платформе Twitch. Он играл в PUBG и League of Legends, а на его Twitch-аккаунт до сих пор подписаны чуть более 800 человек. 

Сейчас Дмитрию Коротаеву 26 лет. 15 января 2022 года Тверской суд Москвы арестовал его до 14 марта как подозреваемого по делу REvil. Примечательно, что Коротаев, как и Роман Муромский, дружил в соцсетях именно с Алексеем Малоземовым. 

Загадочный липчанин

Последний из восьми известных подозреваемых в участии в хакерской группировке — 25-летний Андрей Бессонов, родом из Липецка. В отличии от других фигурантов, он почти не оставил цифровых следов. У Бессонова пустые страницы в социальных сетях. Андрей удалил большую часть информации о своем номере телефона в приложении Get Contact, которое позволяет узнать, как номер записан в записных книжках других людей. Тем не менее, Daily Storm удалось узнать несколько деталей его биографии.

В отрочестве Бессонов увлекался скейтбордингом и видеоигрой S.T.A.L.K.E.R., судя по его старой странице в соцсети «Мой Мир». Тогда же он мог жить в небольшом частном доме в Липецкой области: по крайней мере, по данным Росреестра, им владеет его пожилая родственница, Надежда Бессонова.

В сравнительно молодом возрасте (с 2016-го по 2019 год) Андрей мог торговать дорогой компьютерной техникой на «Авито». Например, сохранились его архивные объявления о продаже двух MacBook за 65 тысяч и 55 тысяч рублей соответственно, телефона Galaxy S7 за 30 тысяч рублей и Apple Watch за 21 тысячу рублей. Судя по информации из объявлений, он продавал технику не только в родном Липецке, но и в Москве, Брянске и Воронеже.

Согласно профилю Бессонова на сайте Drive2, его автомобиль — BMW X5 (E70). Источник, имеющий доступ к утекшим базам российских автомобилей, сообщил Daily Storm, что в 2021 году полный тезка Бессонова также владел Audi A7. 

Редакции не удалось найти информацию, связывающую профили Бессонова в соцсетях с другими подозреваемыми.

Russian King по кличке «проклинающий»

Едва ли не главный вопрос в связи с делом REvil, который обсуждается на хакерских форумах и в Telegram-чатах по кибербезопасности: «Где Полянин? Почему он на свободе?» 

Евгений Полянин — один из самых разыскиваемых ФБР хакеров в мире. Американское бюро расследований считает 28-летнего россиянина одним из вероятных членов группировки REvil. Ему предъявлены обвинения в кибермошенничестве: конкретно Полянин мог получить от своих жертв 13 миллионов долларов. В ноябре 2021 года Минфин США внес его в санкционный список, тогда же было названо предполагаемое местонахождение хакера — город Барнаул. ФСБ официально не заявляла об обысках в этом городе. В публичном списке задержанных Полянин также не фигурирует.

Евгений Полянин учился в барнаульской общеобразовательной школе №127, следует из информации его профиля в соцсети «Мой Мир», привязанному к его старой старой почте на домене mail.ru. Полянин увлекался рок-музыкой и культовой видеоигрой Sonic. После окончания школы он поступил в Алтайский государственный университет, где получил степень бакалавра в области «информатики и компьютерных технологий». Позднее он перешел в магистратуру на физико-технический факультет, но впоследствии бросил учебу. 

Окружавшие тогда Полянина люди не очень лестно отзываются о его программистских способностях. Его сокурсник Константин Стародубцев говорил корреспонденту Daily Mail, что Полянин «не был гением в программировании».

«Он был по-своему забавным. Он любил каламбурить. Я помню его только за то, что он увлекался физкультурой», — продолжил Стародубцев.

Преподаватель Полянина, профессор Владимир Пашнев, утверждает, что студент «ничем не выделялся». 

«Это не мы учили его хакерству, — рассказывал Пашнев. — Эта работа требует определенной харизмы. А у него не было харизмы, или никто об этом не помнит. Сейчас у нас здесь [в университете] ходит шутка: «Он плохо учился. Иначе не попался бы»… Он вроде бы хороший специалист, но у нас нет повода для гордости».

Тем не менее, Полянин мог увлечься темой теневого заработка и хакинга еще в школе. Daily Storm выяснил это, анализируя известные Минюсту США вариации никнеймов хакера и адреса его электронных почт. Мы проверили утечки баз данных известных хакерских форумов на наличие в них email и ников Полянина. 

Один из почтовых ящиков Полянина был зарегистрирован на культовом в России хакерском форуме «Античат», следует из данных сервиса LeakCheck. В 2010 и 2011 годах он регистрировался на кардреском форуме c****r.pro под никнеймами Damn и DmN, где пользователи обсуждали методы мошенничества с платежными картами. 

Еще раньше, в конце 2008 года, 15-летний подросток Полянин под ником Damnating (можно вольно перевести с английского как «проклинающий») зарегистрировался на кардерском форуме c****r.su.

Kakaxen@yandex.ru — электронная почта, которую Полянин, вероятно, использовал для регистрации на этом форуме. Она была привязана к странице во «ВКонтакте» некоей Аннет Кубаревой — это фейковая страница девушки, зарегистрированной в 2009 году. В профиле выложены откровенные фото молодой шатенки в розовом нижнем белье. 

«Чтобы увидеть мои более эротичные фотографии, заходите на анкету [далее следует ссылка на сайт, где якобы можно было найти партнеров для секса]», — такого рода посты Аннет оставляла на своей странице.  

Полянин мог получать деньги за каждый переход доверчивого юзера по ссылке.

Еще одно косвенное подтверждение, что этот фейк принадлежал именно Полянину, — аватарка с изображением персонажа из аниме «Блич». Дело в том, что жена хакера София, по данным Daily Mail, занималась бизнесом по выпечке тортов. К дню рождения мужа, на 28-летие, она испекла праздничное угощение с фигуркой жизнерадостного Наруто Узумаки, героя манги и аниме «Наруто», и цифрой 28.

Однако Полянин не ограничился созданием страницы фейковой девушки для онлайн-заработка на теме «клубнички». В соцсети «ВКонтакте» сохранилось сообщество therussiankings, созданное в 2008 году со старой страницы Полянина. Тогда ему было 15 лет.

Сейчас группа пустует, но сохранилось ее описание: «На сайте TheRussianKings вы можете прилично заработать, переливая трафик. На сам сайт нужны инвайты, за инвайтами пишите мне в личку и ваш сайт. Приглашайте всех!» — указал Полянин в описании группы (орфография и пунктуация авторские).

Ресурс TheRussianKings появился в 2007 году, это один из крупнейших сервисов по работе с adult-трафиком. «Короли» предоставляли партнерскую программу для веб-мастеров по заработку на «переливе» российского порно-трафика. 

Работало это следующим образом. Владелец сайта размещал у себя один или несколько баннеров, ведущих на порносайты, связанные с TheRussianKings. Партнерский ресурс, в свою очередь, платил вебмастеру за каждого пользователя, который кликнул на баннер, а затем регистрировался и оплачивал подписку на порносайте. 

Daily Storm не удалось установить точную роль Евгения Полянина в проекте TheRussianKings. Возможно, он просто зарабатывал на распространении инвайтов (приглашений). С другой стороны, на форумах веб-мастеров от имени сайта TheRussianKings иногда писал менеджер с ником Eugene.

В 2014 году Евгений Полянин внезапно удалил свои социальные сети, утверждал знакомый россиянина в разговоре с Daily Mail. В утекшей базе данных клиентов банков из черного списка ЦБ отказников по антиотмывочному законодательству содержится информация о Полянине, сообщил Daily Storm источник, имеющий доступ к утечке. По его словам, полный тезка хакера попал в список в феврале 2015 года. 

Спустя год Полянин выпустился из бакалавриата Алтайского государственного университета. А в 2019 году, согласно данным «СПАРК-Интерфакс», стал индивидуальным предпринимателем в сфере «разработки компьютерного программного обеспечения». 

Daily Mail публиковал фотографии «шикарного» по барнаульским меркам частного дома Полянина: британский таблоид оценил его стоимость примерно в 30 миллионов рублей. Daily Storm нашел этот дом на карте: согласно выписке из Росреестра, он действительно принадлежит полному тезке хакера.

Daily Mail также удалось обнаружить автомобили хакера премиум-класса: Mercedes Benz и Toyota Land Cruiser. Корреспондент газеты также выяснил, что Полянин с женой регулярно летал на вертолете в Алтайские горы. 

И тем не менее, личность Полянина не ограничивается лишь внешними атрибутами. В интернете сохранилась часть информации с его удаленной страницы в соцсети «ВКонтакте». 

Из телепередач Полянин предпочитал посвященную автомобилям Top Gear, шоу «Голос», а также советскую телепрограмму «До и после полуночи». Среди любимых книг хакер выделял Коран Усмана, Российскую архитектурно-строительную энциклопедию и полный справочник лекарственных средств. А любимое художественное произведение Полянина — научно-фантастический роман братьев Стругацких «Хромая судьба».

«Нам хотелось написать человека талантливого, но безнадежно задавленного жизненными обстоятельствами, его основательно и навсегда взял за глотку «век-волкодав», — писал Борис Стругацкий об истории создания романа.

Охотники на крупную дичь

После задержания фигурантов дела REvil, завсегдатаи теневых форумов разделились на несколько лагерей. Часть комментаторов высказывали предположение, что ФСБ могла задержать дропов (подставных номиналов) или простых обнальщиков. Другие предполагали, что российские спецслужбы задержали вообще случайных людей. С другой стороны, сразу несколько авторитетных форумчан утверждают, что знакомые им члены REvil внезапно перестали выходить на связь. 

Группировка действительно стала менее активной, рассказал «Газете.Ru» руководитель Лаборатории компьютерной криминалистики Group-IB Олег Скулкин. 

«Еще до арестов в России REvil и так не были активны уже несколько месяцев, — отметил эксперт. — Но о полной ликвидации REvil, действительно, говорить пока рано. Судя по предъявленным обвинениям, задержаны были не разработчики программы-вымогателя REvil, и даже не партнеры, которые ее арендовали, а лица, участвовавшие в обналичивании денежных средств».

И тем не менее, один из задержанных ФСБ подозреваемых мог быть причастен к взлому американской трубопроводной компании Colonial Pipeline. Об этом 14 января сообщил неназванный представитель администрации США высокого ранга на спецбрифинге для журналистов, писал ТАСС. 

В результате атаки на Colonial Pipeline в мае 2021 года в восточной части США взлетели цены на бензин, а президент Байден временно ввел чрезвычайное положение сразу в 17 штатах. 

Хакерская группировка REvil (также известная как Sodinokibi) начала предлагать свои услуги в даркнете в 2019 году. Название банды, вдохновленное серией игр Resident Evil, расшифровывается как Ransom Evil: слово Ransomware используется для обозначения вируса-шифровальщика, который блокирует доступ к компьютерной системе, а затем требует от жертвы выкуп для восстановления исходного состояния. 

Киберпреступники распространяли разработанный ими вирус не самостоятельно, а через партнеров-хакеров, найденных на теневых форумах. В конце 2020 года оператор REvil внес один миллион долларов в биткойнах на депозит на русскоязычном хакерском форуме. Таким образом участники группировки хотели показать потенциальным партнерам свое серьезное отношение к делу. 

Распространители получали 60-75% выкупа, который назначался на основании данных о годовом доходе жертвы. По словам одного из участников REvil, в 2020 году группировка заработала 100 миллионов долларов США. Стоит отметить, что в середине января ФСБ отчиталась об изъятии активов, составляющих заметно меньшую сумму: более полумиллиарда рублей.

REvil тщательно отбирали потенциальных жертв и атаковали только крупные компании, которые были в состоянии заплатить выкуп в несколько десятков или сотен миллионов долларов. Например, весной 2021 года группировка атаковала компании Acer и Quanta Computer. По утверждению самих REvil, им удалось выкрасть у последней чертежи устройств Apple. У обеих компаний киберпреступники требовали выкуп в 50 миллионов долларов.

Американские эксперты в области кибербезопасности регулярно подчеркивали связь REvil с Россией и даже предполагали их аффилированность с российскими спецслужбами. В исходном коде программы REvil эксперты обнаружили участок, проверяющий, что жертва не находится в одной из стран СНГ. Но судя по всему, такая предосторожность не уберегла хакеров. В дело вмешалась политика.

В июне 2021 года ФБР обвинили REvil в организации кибератаки на бразильскую компанию JBS — крупнейшего производителя мяса. Из-за этой атаки временно прекратили работу крупнейшие мясокомбинаты в США. А в начале июля группировка REvil совершила масштабную атаку на серверы IT-компании Kaseya, в результате которой пострадили более 200 американских фирм. 

Вскоре после этого состоялся телефонный разговор президентов США и России. Джо Байден обсудил с Владимиром Путиным деятельность хакеров-вымогателей, базирующихся в России. 

Спустя несколько дней, ранним утром 13 июля, из даркнета исчезла вся инфраструктура хакерской банды REvil. Был отключен ее основной сайт Happy Blog, где публиковалась информация о жертвах с требованием выкупа. В тот же день аккаунт оператора REvil оказался забанен на хакерских форумах.

Тогда администрация президента США допустила причастность Кремля к исчезновению REvil из даркнета. 

Новость о разгроме REvil взбудоражила других киберпреступников. Многие из них напуганы случившимся, — к такому выводу пришли аналитики из Trustwave SpiderLabs. Несмотря на то, что доклад экспертов был встречен юзерами хакерских форумов с некоторой усмешкой, «кейс REvil» может стать важным прецедентом для русскоязычного мира киберкрайма. 

«Не работать по ru» — негласное правило, которое опытные киберпреступники закладывали в головы начинающих хакеров. Оно описывает негласный договор между российскими правоохранителями и киберпреступниками: не взламывать российскую инфраструктуру, не грабить российские компании и граждан. В таком случае, силовики якобы будут относиться снисходительнее к преступлениям, совершенным против зарубежных пользователей. Подробнее об этом писал Даниил Туровский в книге «Вторжение: краткая история русских хакеров». 

В среде киберпреступников даже появилась шутка: «Кто работает по ru, к тому приходят поутру». Напомним, что REvil принципиально не атаковали российские компании.