Власти США и Великобритания наложили санкции на семь россиян, которых считают причастными к деятельности хак-группы TrickBot, чье вредоносное ПО использовалось для поддержки вымогательских атак Conti и Ryuk.
Напомню, что хак-группа TrickBot (она же ITG23, Gold Blackburn и Wizard Spider) считается финансово мотивированной группировкой, которая известна в основном благодаря разработке одноименного банковского трояна TrickBot.
С годами TrickBot эволюционировал из классического банкера, предназначенного для кражи средств с банковских счетов, до многофункционального дроппера, распространяющего другие угрозы (от майнеров и шифровальщиков до инфостилеров). В прошлом году TrickBot и вовсе перешел под управление операторов малвари Conti, которая использовала вредоносное ПО группы для поддержания собственных вымогательских атак.
Как теперь сообщили власти США и Великобритании, страны вводят санкции в отношении семи человек, которые, по их мнению, участвовали в операциях по распространению малвари TrickBot.
«Сегодня Соединенные Штаты, совестно с Великобританией включают в санкционные списки семь человек, которые являются частью базирующейся в России киберпреступной группировки Trickbot», — гласит заявление Министерства финансов США.
Британские власти, в свою очередь, пишут, что «злоумышленники несут ответственность за 149 атак на частных лиц и предприятия Великобритании, получив выкупы в размере не менее 27 миллионов фунтов стерлингов».
«104 жертвы вымогателя Conti из Великобритании заплатили [злоумышленникам] около 10 миллионов фунтов стерлингов, и 45 жертв вымогателя Ryuk заплатили около 17 миллионов фунтов стерлингов», — подсчитали правоохранители.
Сообщается, что санкции направленные на пресечение «активности российской киберпреступности» и программ-вымогателей, стали результатом партнерства между Управлением по контролю за иностранными активами Министерства финансов США, Министерством иностранных дел и международного развития Великобритании, Национальным агентством по борьбе с преступностью Великобритании, а также британским казначейством.
Санкции вводятся после масштабной утечки внутренних чатов и личной информации участников Conti и TrickBot, произошедших в рамках так называемых инцидентов ContiLeaks и TrickLeaks.
Тогда как утечка данных Conti в основном была сосредоточена на внутренних переговорах и исходном коде хак-группы, утечка Trickbot была даже хуже: в Twitter обнародовали личные данные, онлайн-аккаунты и личную информацию о членах TrickBot.
В конечном итоге эти «сливы» привели к тому, что Conti прекратила свою деятельность и распалась на несколько других группировок.
Результатом введенных теперь санкций должна стать блокировка всего имущества и средств, принадлежащие следующим лицам, в США и Великобритании. Также физическим лицам и компаниям отныне запрещено совершать транзакции с этими физическими лицами, включая выплаты выкупов.
- Виталий Ковалев считается одним из лидеров Trickbot.Известен в сети под никами Bentley и Ben. Окружной суд США по округу Нью-Джерси обнародовал обвинительное заключение, в котором Ковалева обвиняют в заговоре с целью совершения банковского мошенничества и в банковском мошенничестве. Это связано с серией взломов банковских счетов в различных финансовых учреждениях США, которые имели место в 2009 и 2010 годах, еще до Dyre или Trickbot.
- Максим Михайлов якобы занимался разработкой в Trickbot . В сети известен под ником Baget.
- Валентин Карягин, по мнению властей,участвовал в разработке вымогателей и других вредоносных проектов. В сети известен под ником Globus.
- Михаил Искрицкий якобы работал для Trickbot над проектами по отмыванию денег и фроду. В сети известен под ником Tropa.
- Дмитрий Плешевский якобы работал над внедрением вредоносного кода на сайты для кражи учетных данных жертв. В сети известен под ником Iseldor.
- Иван Вахромеев считается менеджером группировки Trickbot. В сети известен под ником Mushroom.
- Валерий Седлецкий якобы был администратором в Trickbot, в том числе управлял серверами. В сети известен под ником Strix.
ИБ-исследователи полагают, что после «закрытия» Conti эти люди, вероятно, перешли в других хак-группы, то есть введенные санкции могут значительно затруднить выплату выкупов другим вымогателям, которые ранее были связаны с Conti. В этот список входят BlackCat, Royal Group, AvosLocker, Karakurt, LockBit, Silent Ransom и DagonLocker.