8 марта, 20:48
На этой неделе я взял интервью у GangExposed о его работе. GangExposed — независимый анонимный исследователь, который получил известность в мае 2025 года после публикации утечек конфиденциальной информации, личных данных и внутренних коммуникаций крупных русскоязычных групп вымогателей, прежде всего Conti и Trickbot.
— Здравствуйте, спасибо, что согласились на интервью. Могли бы вы представиться — кто вы и чем занимаетесь?
Здравствуйте! Меня зовут GangExposed — это мой псевдоним. Я независимый анонимный OSINT-исследователь. Я специализируюсь на деанонимизации лидеров и ключевых разработчиков крупнейших и наиболее опасных групп вымогателей: Conti, LockBit, BlackBasta, Devman, Qilin, DragonForce и других. Мой основной фокус — именно руководители и «мозг» этих групп.
— Вы занимаетесь этим уже некоторое время. Что изначально подтолкнуло вас к расследованию групп вымогателей?
Всё началось с того, что меня сильно зацепила статья Брайана Кребса о деанонимизации хакера Wazawaka (Михаил Матвеев). Эта публикация буквально вдохновила меня попробовать сделать что-то подобное самому.
Затем я наткнулся на знаменитую утечку чатов Conti. К тому моменту журналисты и крупные компании кибербезопасности уже подробно разобрали её, но ключевые фигуры всё ещё оставались нераскрытыми — даже ФБР объявило награду за информацию. Я решил попробовать сам: собрал собственные источники, начал читать чаты, анализировать их с помощью своих инструментов и опираться только на собственные выводы.
Постепенно я понял, насколько серьёзной — почти корпоративной — была их структура: с отделами безопасности, собственной OSINT-разведкой, связями и так далее.
Публично я занимаюсь этим меньше года, но в целом работаю с OSINT уже около двух лет.
— Как вы выбираете цели?
Прежде всего я выбираю тех, за кого объявлены крупные награды в программе Rewards for Justice. Для меня это показатель реальной сложности: если разведывательные службы не смогли установить личность — значит, это интересная задача.
Второй критерий — самые наглые и беспринципные. Те, кто атакует больницы, школы, детские учреждения и гуманитарные организации. Такие автоматически становятся приоритетными целями.
Я работаю полностью независимо. Никто не ставит мне задач. Я сам выбираю цели и всегда действую строго в рамках закона и собственной этики.
— Многие люди, которых вы расследовали, находятся в списках Интерпола, Европола и даже немецкого BKA. Знают ли они о ваших находках? Получали ли вы когда-нибудь вознаграждения?
Надеюсь, что знают (улыбается).
Нет, я никогда не получал наград за свои находки. И честно говоря, это никогда не было для меня бизнесом.
Но я реалист: работа в одиночку имеет очевидные ограничения. Поэтому в последнее время я думаю о том, как масштабировать эту деятельность — передавать проверенные методы, инструменты и практический опыт тем, у кого есть ресурсы и команды. Если всё сделать правильно, можно будет раскрывать не десятки, а сотни самых скрытых фигур во всём хакерском подполье.
— Можно ли вообще зарабатывать на такой работе?
Да, можно. Но в тот момент, когда вы начинаете зарабатывать на этом деньги, вы очень быстро начинаете играть по чужим правилам. С самого начала я выбрал независимость и пока не планирую это менять.
— Думали ли вы о работе в подразделении по борьбе с киберпреступностью или даже на государство?
Конечно, думал. Но не в смысле надеть форму и сидеть в офисе с девяти до шести.
Я могу быть полезен как консультант — на добровольной основе или по конкретным целям, когда нужно быстро продвинуть расследование. У меня уже были контакты и предложения, но я выбираю свободу действий.
На самом деле мои амбиции гораздо шире. Conti, LockBit, Qilin, DragonForce — это лишь топливо для гораздо более крупного проекта. Но пока я не готов раскрывать карты.
— Conti — одна из самых документированных групп вымогателей в истории, но ключевые фигуры долго оставались неизвестными. Вы подтвердили, что Stern — это Виталий Ковалёв, и BKA это подтвердило. Вы установили, что Professor — это Квитко, и выяснили, что руководители Conti физически находились в Дубае и управляли операциями из ОАЭ. Как вам удалось их найти?
Всё началось с Алексея Курашова (ник Target) — его имя всплыло как одного из лидеров Conti. Я собрал данные обо всех его пересечениях границы за десять лет: десятки перелётов и сотни попутчиков. Постепенно начала вырисовываться сеть людей, которые регулярно летали вместе с ним, особенно в ОАЭ начиная с 2021 года.
Я построил визуальную временную линию перелётов и начал сопоставлять её с чатами Conti. Несмотря на всю их паранойю и онлайн-операционную безопасность, в реальной жизни они перемещались группами почти по расписанию.
Так постепенно распуталась основная сеть:
Professor — Владимир Квитко,
переговорщик — Аркадий Бондаренко,
Stanton — Сергей Хитров и другие.
Stern — Виталий Ковалёв — оказался самым простым. Ответ буквально лежал на поверхности в чатах Conti и в ранних обвинениях по делу Trickbot. Он был главным лидером группы. Странно, что никто не заметил этого раньше.
— Есть ли у вас предположения, почему многие из этих людей сейчас живут в ОАЭ? Я видел видео, которое вы публиковали, где они отдыхают на дорогих яхтах.
Не «многие», а некоторые ключевые фигуры. ОАЭ уже давно являются удобным хабом для них: криптовалюты, недвижимость, лёгкость регистрации компаний, слабый контроль происхождения средств и комфортная жизнь без экстрадиции в западные страны.
Они даже организовали офис в Дубае с хакерами и оборудованием специально для атак. Например, они купили мощную GPU-ферму примерно за 1,5 миллиона долларов для взлома хешей — это стало известно из утёкших чатов.
Что касается Владимира Квитко («Professor»), он действительно провёл там несколько лет, и его семья до сих пор находится в ОАЭ. Но сейчас я потерял его след и не знаю, где он находится.
А та самая конференция Blockchain Life в Дубае в октябре 2025 года выглядела как настоящий цирк. Люди, разыскиваемые за ущерб на миллиарды долларов, спокойно выступали на сцене, фотографировались и отдыхали на яхтах. Странно, что их не задержали прямо там — доказательств было более чем достаточно. Но правосудие движется медленно, особенно когда речь идёт о транснациональных деньгах и политике.
Я уверен, что официальные обвинения ещё будут, и такие массовые встречи в ОАЭ для них скоро станут невозможными. Некоторые уже получили запреты на въезд, включая даже одного депутата Госдумы, связанного с Conti. Посмотрим, как ОАЭ будут балансировать между статусом «крипто-рая» и международным давлением.
— Каким расследованием вы гордитесь больше всего?
Их было несколько, трудно выделить одно. Самые яркие — это цели с наградой в 10 миллионов долларов: Target, Professor, LockBitSupp. Момент, когда ник наконец связывается с реальным человеком, всегда вызывает мощный прилив адреналина и гордости. «Я сделал это».
Но самое важное для меня — оставаться полностью анонимным. Я никому не рассказываю о себе и своих успехах. Мне достаточно того, что я сделал работу и поставил галочку в своём списке.
— Был ли случай, когда вы нашли связь, которая раньше казалась невозможной?
Спасибо за этот вопрос, есть один интересный пример.
Это было на ранней стадии расследования Conti. Я получил имя — Алексей Курашов. Все нити вели к нему, но кто он внутри группы? Ник, роль — всё было неизвестно. Сначала я подумал, что это может быть Mango или Stern. Но не сходилось.
Стилометрия текста показала совпадение с участником под ником TARGET. Но тут возникла проблема: ФБР опубликовало фотографию TARGET, и это был другой человек.
Я снова запускаю анализ — второй, пятый, десятый раз. Все результаты упорно показывают одно и то же: это Курашов.
Я переписываю скрипты, перепроверяю всё — ничего не меняется. Тогда я перечитываю более двадцати тысяч сообщений TARGET в внутренних чатах Conti. И нахожу точные совпадения по датам между перелётами Курашова и активностью ника.
Вывод был очевиден: ФБР ошиблось с фотографией. Тот «TARGET», которого они показали, оказался другим человеком. Я установил, что это Владимир Каменский — его досье есть на моём канале.
Даже крупнейшие агентства иногда ошибаются. Этот случай научил меня: когда кажется, что «такого не может быть», нужно копать глубже.
— Помимо основных расследований вы также недавно заявили, что Дмитрий Хорошев не является главным лицом LockBit, а лишь разработчиком, и назвали Евгения Дементьева. Можете объяснить?
Да. По моим данным, настоящим LockBitSupp и фактическим лидером группы является Евгений Дементьев.
Дмитрий Хорошев, которого официально назвал ФБР, был разработчиком внутри группы, но не её лидером и не получал долю выкупов.
Подробно всё описано в моём расследовании:
и
— Вы всегда на сто процентов уверены в своих выводах?
Сомнения всегда есть — это и есть критическое мышление.
Но когда я публикую материал, я уверен на сто процентов. Каждое досье проходит многоуровневую проверку: несколько источников, сопоставление по времени, месту, стилю общения и связям. Если хотя бы один элемент вызывает сомнение, материал остаётся «в ожидании».
Сейчас у меня более 150 неопубликованных досье. Среди них люди, занимающиеся обналичиванием, мошенники, курьеры, инфраструктурщики — все, кто так или иначе связан с группой Conti и родственными структурами. Но если я не могу сделать однозначный вывод с доказательствами, я продолжаю проверять и не публикую.
Одна ошибка может подорвать доверие ко всей работе. И прежде всего такую ошибку найдут сами фигуранты моих расследований.
— Во время этой работы два ваших Telegram-канала были удалены. Кто стоит за этим?
Мои Telegram-каналы удаляли уже шесть раз. Каждый раз это происходит после волны жалоб от людей, которым моя работа сильно мешает.
Но восстановление занимает немного времени. Я переношу весь контент, подписчики постепенно возвращаются. Я готов к этому — это часть игры.
Я всегда восстанавливаю канал и продолжаю работу.
— Вы когда-нибудь чувствовали личную угрозу?
Нет. Я никогда не чувствовал прямой угрозы. Угрозы приходят постоянно — как от самих фигурантов расследований, так и от их окружения. Были даже серьёзные попытки, например дорогие эксплойты для Telegram.
Я прекрасно понимаю, какие бюджеты и ресурсы у этих людей. Если бы я боялся, я бы просто не начал. Поэтому я очень строг к собственной операционной безопасности.
— Если кто-то хочет заняться OSINT, с чего ему лучше начать?
С безопасности и анонимности. Никогда заранее не знаешь, куда приведёт расследование. Когда вы начинаете думать о безопасности слишком поздно, может оказаться, что уже ничего нельзя исправить.
Лучше сразу начинать с реального кейса, а не с теории. Например, есть слухи о Льве Прокопьеве — по открытым источникам его связывают с бандой Qilin, одной из самых агрессивных групп вымогателей, о членах которой до сих пор известно очень мало.
Я пока серьёзно не работал над этим делом — у меня есть только имя и фамилия. Но если собрать утечки, форумы, штрафы, перелёты, автомобили, социальные сети и другие данные, можно попытаться подтвердить или опровергнуть эту версию.
Кто знает, возможно именно вы раскроете этот громкий кейс.
— И последний вопрос. Что бы вы хотели сказать напоследок?
В завершение я хотел бы отдельно поблагодарить немецкое ведомство BKA. На мой взгляд, это одно из самых компетентных и эффективных агентств в борьбе с киберпреступностью сегодня.
Использованная литература: источник