США и Великобритания ввели санкции в отношении 11 граждан России, которых считают причастными вымогательским операциям TrickBot и Conti.
Напомню, что хак-группа TrickBot (она же ITG23, Gold Blackburn и Wizard Spider) считается финансово мотивированной группировкой, которая известна в основном благодаря разработке одноименного банковского трояна TrickBot.
С годами TrickBot эволюционировал из классического банкера, предназначенного для кражи средств с банковских счетов, до многофункционального дроппера, распространяющего другие угрозы (от майнеров и шифровальщиков до инфостилеров). В прошлом году TrickBot и вовсе перешел под управление операторов малвари Conti, которая использовала вредоносное ПО группы для поддержания собственных атак и усиления таких вредоносов как BazarBackdoor и Anchor.
После февраля 2022 года исследователь слил внутреннюю переписку группировки Conti, а вскоре после этого другой человек под псевдонимом TrickLeaks начал сливать информацию о работе TrickBot, что подтвердило связь между этими группировками.
В конечном итоге эти утечки привели к тому, что Conti прекратила свою деятельность и распалась на несколько других группировок, включая Royal, Black Basta и ZEON.
Как теперь сообщают правительств США и Великобритании, на 11 участников TrickBot и Conti теперь наложены санкции в связи с их киберпреступной деятельностью, которая привела к краже 180 млн долларов у компаний и организаций по всему миру.
«По оценкам NCA, эта группа была ответственна за вымогательство не менее 180 млн долларров у жертв по всему миру, а также не менее 27 млн фунтов стерлингов у 149 жертв в Великобритании. Целью злоумышленников становились британские больницы, школы, местные органы власти и предприятия», — заявляет Национального агентства по борьбе с преступностью Великобритании.
Министерство финансов США тоже объявило о введении санкций:
«Сегодняшние цели включают ключевых участников, вовлеченных в управление и снабжение группировки Trickbot, которая атаковала правительство США и американские компании, включая больницы, — гласит заявление Министерства финансов. — Во время пандемии COVID-19 группа Trickbot атаковала многие объекты критической инфраструктуры и медицинские учреждения в США».
Результатом введенных санкций должна стать блокировка всего имущества и средств, принадлежащих хакерам, в США и Великобритании. Также физическим лицам и компаниям отныне запрещено совершать транзакции с этими физическими лицами, включая выплаты выкупов.
Ниже перечислены 11 человек, в отношении которых введены санкции. По данным властей, все они являются гражданами России.
- Андрей Жуйков считается одним из глав группировки, который выполнял функции старшего администратора. В сети известен под никами Dif и Defender.
- Максим Галочкин руководил группой тестировщиков, отвечая за разработку, контроль и проведение тестов. В сети известен под никами Bentley, Crypt, Volhvb.
- Максим Руденский так же считается одним из ключевых участников группы Trickbot и руководителем кодеров.
- Михаил Царев якобы занимал в группе должность менеджера, курировал вопросы управления персоналом и финансами, а также отвечал за управление и ведение бухгалтерского учета. В сети известен под никами Mango, Super Misha, «Александр Грачев», Ivanov Mixail, «Миша Крутыша», «Никита Андреевич Царев».
- Дмитрий Путилин якобы имел отношение к закупкам для инфраструктуры Trickbot. В сети известен под никами Grad и Staff.
- Максим Халиуллин по мнению властей, был менеджером по персоналу хак-группы, а также связан с закупками для инфраструктуры Trickbot, в том числе виртуальных частных серверов (VPS). В сети известен под ником Kagas.
- Сергей Логунцов считается одним из разработчиков Trickbot.
- Вадим Валиахметов якобы был кодером Trickbot, известен под никами Weldon, Mentos, Vasm.
- Артем Куров так же считается одним из кодеров и разработчиков Trickbot. В сети известен под псевдонимом Naned.
- Михаил Чернов якобы входил в utilities-группу Trickbot и был известен под ником Bullet.
- Александр Можаев считается одним из администраторов, отвечавших за общие административные функции, в сети известен как Green и Rocco.
Все это дополняет санкции, уже введенные против семи участников TrickBot в феврале 2023 года.
Как уже отмечалось выше, после «закрытия» Conti многие участники группировки перешли в другие хак-группы, то есть введенные санкции могут значительно затруднить выплату выкупов другим вымогателям. Считается, что в этот список входят BlackCat, Royal Group, AvosLocker, Karakurt, LockBit, Silent Ransom и DagonLocker.
В прошлом аналогичные санкции уже приводили к закрытию и «ребрендингу» вымогательских групп, так как фирмы-переговорщики отказывались перечислять выплаты лицам, попавшим под санкции.