В четвъртък правителствата на Обединеното кралство и САЩ наложиха санкции на 11 лица, за които се предполага, че са част от известната руска банда за киберпрестъпления TrickBot.
„Русия отдавна е сигурно убежище за киберпрестъпници, включително за групата TrickBot“, заяви Министерството на финансите на САЩ, като добави, че тя има „връзки с руските разузнавателни служби и се е насочила към правителството на САЩ и американски компании, включително болници“.
Целите на санкциите са администратори, мениджъри, разработчици и програмисти, за които се смята, че са оказали материална помощ в нейните операции. Имената и ролите им са следните –
Доказателствата, събрани от фирмата за разузнаване на заплахи Nisos в края на миналия месец, разкриват, че Галочкин „е променил името си от Максим Сергеевич Сипкин и че от 2022 г. има значителни финансови задължения“.
„Лицата, всички руски граждани, са действали извън обсега на традиционните правоприлагащи органи и са се криели зад онлайн псевдоними и прякори“, заяви правителството на Обединеното кралство. „Премахването на тяхната анонимност подкопава интегритета на тези лица и техните престъпни бизнеси, които застрашават сигурността на Обединеното кралство.“
Развитието бележи втория път в рамките на седем месеца, когато двете правителства налагат подобни санкции срещу множество руски граждани за тяхната принадлежност към киберпрестъпните синдикати TrickBot, Ryuk и Conti.
То също така съвпада с разкриването на обвинителни актове срещу девет обвиняеми във връзка със схемите за зловреден софтуер TrickBot и рансъмуер Conti, като в тях се включват седем от новосанкционираните лица.
Дмитрий Плешевски, един от санкционираните през февруари 2023 г., оттогава отрича всякакво участие в бандата TrickBot, като заявява, че е използвал псевдонима „Iseldor“ онлайн, за да изпълнява неуточнени задачи по програмиране на свободна практика.
„Тези задачи не ми се струваха незаконни, но може би точно тук се крие моето участие в тези атаки“, цитира Плешевски WIRED, който след продължило няколко месеца разследване разобличи Галочкин като един от ключовите членове на TrickBot.
До момента в САЩ са задържани и обвинени двама други разработчици на TrickBot. Алла Витте, латвийска гражданка, се призна за виновна в заговор за извършване на компютърна измама и беше осъдена на 32 месеца през юни 2023 г. Руснак на име Владимир Дунаев в момента е задържан и е в очакване на съдебен процес.
Еволюция на банковия троянски кон Dyre, TrickBot започва по подобен начин през 2016 г., преди да се превърне в гъвкав, модулен пакет от зловреден софтуер, който позволява на заплахите да разгръщат полезен товар на следващ етап, като например ransomware.
Групата за електронна престъпност, която успя да оцелее след усилията за отстраняване през 2020 г., беше абсорбирана в картела Conti ransomware в началото на 2022 г. и както се вижда от посочените по-горе роли, функционираше подобно на легитимно предприятие с професионална управленска структура.
Conti официално се разформирова през май 2022 г. след вълна от изтичания на информация два месеца по-рано, която предложи безпрецедентен поглед върху дейността на групата, което от своя страна беше предизвикано от подкрепата на групата за Русия във войната на последната срещу Украйна.
Анонимните изтичания, наречени ContiLeaks и TrickLeaks, се появиха в рамките на няколко дни едно след друго в началото на март 2022 г., което доведе до публикуването на купища данни за вътрешните чатове и инфраструктурата им онлайн. Предишният акаунт на име TrickBotLeaks, който беше създаден в X (бившия Twitter), беше бързо спрян.
„Общо има около 250 000 съобщения, които съдържат над 2500 IP адреса, около 500 потенциални адреса на криптопортфейли и хиляди домейни и имейл адреси“, отбелязва Cyjax през юли 2022 г., позовавайки се на кеша с данни на TrickBot.
Според Националната агенция за борба с престъпността на Обединеното кралство (NCA) се смята, че групата е изнудила най-малко 180 млн. долара от жертви в световен мащаб и най-малко 27 млн. паунда от 149 жертви във Великобритания.
Въпреки продължаващите усилия за прекъсване на руската киберпрестъпна дейност чрез санкции и повдигане на обвинения, участниците в заплахите продължават да процъфтяват, макар и да работят под различни имена, за да избегнат забраната, и да използват общи тактики за проникване в цели.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.