Stany Zjednoczone i Wielka Brytania łączą siły, aby nałożyć sankcje na 7 członków gangu ransomware Trickbot
Departament Skarbu USA zidentyfikował mężczyzn jako członków rosyjskiego gangu znanego jako Trickbot, którego nazwa pochodzi od oprogramowania opracowanego przez grupę w celu przejęcia kontroli nad komputerami i które po raz pierwszy zostało użyte do przechwytywania haseł bankowych.
Grupa specjalizowała się w atakach na amerykańskie szpitale podczas szczytu pandemii COVID-19 latem 2020 r., przyciągając odwet ze strony US Cyber Command i Microsoft. Ale grupa była w stanie odzyskać siły i zdywersyfikować się, używając innych narzędzi do swoich ataków.
W ramach sankcji nałożonych w czwartek żaden mieszkaniec Ameryki ani Wielkiej Brytanii nie może robić interesów z mężczyznami, w tym wysyłać im okupu, bez uprzedniej zgody rządu.
Nie było wzmianki o jakichkolwiek aresztowaniach, a sankcje same w sobie niewiele zdziałają, aby poważnie ograniczyć plagę oprogramowania ransomware, chociaż niektórzy przestępcy mogą odejść od grupy. Siedmiu mężczyzn nie obsługują wersję Trickbota rozpowszechnioną w ostatnich atakach, twierdzą naukowcy. A ponieważ sankcje nakładane są tylko na jednostki, a nie na grupę, prawdopodobnie trudno będzie ustalić, czy którakolwiek z nich otrzymać część okupu.
Jednak podjęte w czwartek działania były kolejnym sygnałem, że rozwija się międzynarodowa współpraca przeciwko przestępcom ransomware. To był pierwszy raz, kiedy Wielka Brytania nałożyła sankcje na podejrzanych o oprogramowanie ransomware i nastąpiło to zaledwie dwa tygodnie po tym, jak władze niemieckie odegrały rolę w penetracji i zamknięciu innej grupy ransomware, znanej jako Hive, która również atakowała szkoły i szpitale.
Brytyjski minister spraw zagranicznych James Cleverly powiedział, że sankcje są początkiem głębszej koordynacji z Amerykanami.
„Te cyniczne cyberataki powodują realne szkody w życiu i źródłach utrzymania ludzi. Zawsze będziemy stawiać na pierwszym miejscu nasze bezpieczeństwo narodowe, chroniąc Wielką Brytanię i naszych sojuszników przed poważną przestępczością zorganizowaną – niezależnie od jej formy i miejsca pochodzenia” – powiedział Cleverly.
Ransomware od dawna jest problemem międzynarodowych organów ścigania, a wiele gangów inicjujących ataki ma siedzibę w Europie Wschodniej lub Rosji. Stany Zjednoczone poinformowały w czwartek, że niektórzy członkowie grupy Trickbot „są związani z rosyjskimi służbami wywiadowczymi”, chociaż nie powiedziały, że którykolwiek z tych siedmiu był. Dodano, że „przygotowania Grupy Trickbot w 2020 r. były zgodne z celami państwa rosyjskiego i celami prowadzonymi wcześniej przez rosyjskie służby wywiadowcze”.
Czaty, które wyciekły w zeszłym roku z innego rosyjskiego gangu, znanego jako Conti, pokazały głębokie powiązania między Conti i Trickbotem, i obejmowały członków Conti rozważających otwarcie biura przeznaczonego do pracy w imieniu rosyjskiego rządu, według Kimberly Goody, szefowej analizy cyberprzestępczości w Google Jednostka wywiadowcza Mandiant, która od lat śledzi grupy.
Jeden z objętych sankcjami mężczyzn, Witalij Kowalow, był przedmiotem otwartego w czwartek 11-letniego aktu oskarżenia, w którym oskarżono go o prowadzenie sieci mułów pieniężnych – ludzi, których zadaniem było zbieranie pieniędzy z przestępstw w Stanach Zjednoczonych i wysyłanie ich do przestępcy gdzie indziej. Departament Skarbu opisał go jako starszą postać w Trickbot, a Goody powiedział, że niektóre dowody łączą jeden z aliasów Kovaleva, „Bentley”, z inną grupą, która opracowała GameOver Zeus, program, który zainfekował setki tysięcy maszyn do 2014 r., a w niektórych przypadkach koncentruje się na celach szpiegowskich dla rosyjskiego wywiadu.
Inni mężczyźni ukarani w czwartek to Maksim Michajłow, znany w Internecie jako „Baget”; Valentin Karyagin, którego internetowy pseudonim to „Globus”; Michaił Iskritskij, znany w Internecie jako „Tropa”; Dmitrij Pleszewski, znany jako „Iseldor”; Iwan Wachromiejew, znany również jako „Grzyb” i Walerij Sedlecki, znany jako „Strix”.
Departament Skarbu powiedział, że każdy z nich pełnił inną rolę w organizacji Trickbota, od pisania kodu po nadzorowanie organizacji. Uważa się, że wszyscy przebywają w Rosji, z wyjątkiem Michajłowa, który według Departamentu Skarbu jest mieszkańcem Sewastopola na okupowanym przez Rosję Krymie.
„Współpraca międzynarodowa jest kluczem do walki z rosyjską cyberprzestępczością” – powiedział Departament Skarbu, ogłaszając sankcje. „Stany Zjednoczone i Wielka Brytania są liderami w globalnej walce z cyberprzestępczością i zobowiązały się do wykorzystania wszystkich dostępnych uprawnień i narzędzi do obrony przed cyberzagrożeniami”.