Хакер #305. Многошаговые SQL-инъекции
Министерство юстиции США сообщило о предъявлении обвинений 55-летней гражданке Латвии Алле Витте (Alla Witte). Считается, что женщина входила в команду разработчиков малвари TrickBot, где писала код для управления вредоносом и развертывания вымогателя на зараженных машинах.
Витте была арестована еще 6 февраля 2021 года в Майами, Флорида. По данным следствия, в сети женщина была известна под ником Max и сотрудничала с создателями TrickBot с самого начала, то есть с ноября 2015 года (когда остатки хак-группы Dyre создали новую версию одноименной малвари, а затем переименовали ее в TrickBot).
Согласно судебным документам, Витте — одна из 17 возможных разработчиков TrickBot. Правоохранители считают, что Витте отвечала за следующие аспекты малвари: создание кода, связанного с мониторингом и отслеживанием авторизованных пользователей Trickbot; контроль и развертывание вымогателя; получение платежей от жертв; разработку инструментов и протоколов для хранения украденных учетных данных.
Витте — первый человек, арестованный за участие в разработке TrickBot. Власти США заявляют, что другие подозреваемые еще находятся на свободе в России, Беларуси, Украине и Суринаме.
Женщине предъявили обвинения по 19 пунктам, а ИБ-сообщество обсуждает, что Витте, похоже, не слишком стремилась скрыть свою личность и даже размещала на личном сайте версии TrickBot, находящиеся в разработке.
TrickBot — один из крупнейших и наиболее успешных вредоносов на сегодняшний день. Малварь была замечена впервые еще в 2015 году, вскоре после серии громких арестов, которые существенно изменили состав хак-группы Dyre.
За прошедшие годы малварь эволюционировала из классического банковского трояна, предназначенного для кражи средств с банковских счетов, до многофункционального дроппера, распространяющего другие угрозы (от майнеров, до шифровальщиков и инфостилеров).
Осенью 2020 года была проведена масштабная операция, направленная на ликвидацию TrickBot. В ней принимали участие правоохранительные органы, специалисты команды Microsoft Defender, некоммерческой организации FS-ISAC, а также ESET, Lumen, NTT и Symantec. Тогда многие эксперты писали, что хотя Microsoft удалось отключить инфраструктуру TrickBot, скорее всего, ботнет «выживет», и в конечном итоге его операторы введут в строй новые управляющие серверы, продолжив свою активностью. К сожалению, так и произошло.