U prvoj koordinisanoj akciji ove vrste, vlade Velike Britanije i SAD-a u četvrtak su uvele sankcije protiv sedam ruskih državljana zbog njihove pripadnosti kibernetičkom napadu na TrickBot, Ryuk i Conti.
Osobe koje su pod sankcijama su Vitalij Kovaljov (zvani Aleks Konor, Bentley ili Bergen), Maksim Mihajlov (zvani Baget), Valentin Karjagin (zvani Globus), Mihail Iskritski (zvani Tropa), Dmitrij Pleševski (zvani Iseldor), Ivan Vahromejev (zvani Mushroom) i Valery Sedletski (zvani Strix).
“Trenutni članovi grupe TrickBot povezani su s ruskim obavještajnim službama”, napominje Ministarstvo finansija SAD-a. “Pripreme grupe TrickBot 2020. godine uskladile su ih s ruskim državnim ciljevima i ciljevima koje su prethodno provodile ruske obavještajne službe.”
TrickBot, koji se pripisuje pretnji po imenu ITG23, Gold Blackburn i Wizard Spider, pojavio se 2016. godine kao derivat bankovnog trojanca Dyre i evoluirao u visoko modularni okvir malicioznog softvera sposoban za distribuciju dodatnog payload-a. Grupa je nedavno prebacila fokus na napad na Ukrajinu.
Zloglasna platforma malware-as-a-service (MaaS), sve do svog formalnog zatvaranja početkom prošle godine, služila je kao istaknuto sredstvo za bezbrojne Ryuk i Conti ransomware napade, pri čemu je potonji na kraju preuzeo kontrolu nad zločinačkim poduhvatom TrickBot-a prije sopstvenog gašenja sredinom 2022. godine.
Tokom godina, Wizard Spider je proširio svoje prilagođene alate sa skupom sofisticiranih malicioznih programa kao što su Diavol , BazarBackdoor, Anchor i BumbleBee, dok je istovremeno ciljao više zemalja i industrija, uključujući akademiju, energetiku, finansijske usluge i vlade.
“Dok su se operacije Wizard Spider-a značajno smanjile nakon propasti Conti-a u junu 2022. godine, ove sankcije će vjerovatno uzrokovati poremećaje u operacijama protivnika dok oni traže načine da zaobiđu sankcije”, rekao je Adam Meyers, šef obavještajne službe u CrowdStrike-u.
“Često, kada su kibernetičke kriminalne grupe poremećene, one će nestati na neko vrijeme samo da bi se rebrendirali pod novim imenom.”
Prema Ministarstvu finansija, kažnjene osobe su uključene u razvoj ransomware-a i drugih malver projekata, kao i pranje novca i ubacivanje malicioznog koda na web stranice kako bi ukrali kredencijale žrtava.
Kovalev je takođe optužen za zavjeru radi bankovne prevare u vezi sa nizom upada u bankovne račune žrtava koje se drže u finansijskim institucijama sa sedištem u SAD-u, sa ciljem da se ta sredstva prenesu na druge račune pod njihovom kontrolom.
Napadi, koji su se desili 2009. i 2010. godine i prethodili su Kovaljevom susretu sa Dyreom i TrickBot-om, navodno su doveli do neovlaštenih transfera u iznosu od skoro milion dolara, od čega je najmanje 720.000 dolara prebačeno u inostranstvo.
Štaviše, navodi se da je Kovalev blisko sarađivao na Gameover ZeuS-u, peer-to-peer botnet-u koji je privremeno uklonjen 2014. godine. Vjačeslava Igoreviča Penčukova, jednog od stvaraoca malicioznog softvera Zeus, uhapsile su švajcarske vlasti u novembru 2022. godine.
Britanski obavještajni zvaničnici su dalje procijenili da organizovana kriminalna grupa ima “opsežne veze” s drugom organizacijom sa sjedištem u Rusiji poznatom kao Evil Corp, koju su SAD također sankcionisale u decembru 2019. godine.
Ova najava je posljednja salva u tekućoj borbi za ometanje bandi ransomware-a i šireg ekosistema kriminalnog softvera, a dolazi odmah nakon uklanjanja Hive infrastrukture prošlog mjeseca.
Napori su takođe komplikovani jer Rusija već dugo nudi sigurno utočište za kriminalne grupe , omogućavajući im da izvode napade bez ikakvih posledica sve dok napadi ne izdvajaju domaće mete ili njene saveznike.
Sankcije “daju organima za provođenje zakona i finansijskim institucijama mandate i mehanizme potrebne da zaplijene imovinu i izazovu finansijske poremećaje određenim pojedincima, istovremeno izbjegavajući kriminalizovanje i ponovnu viktimizaciju žrtve stavljajući ih u nemoguću poziciju da biraju između plaćanja otkupnine kako bi povratili svoje poslovanje ili kršenje sankcija”, rekao je Don Smith, potpredsjednik istraživanja prijetnji u Secureworks-u.
Prema podacima NCC grupe, napadi ransomware-a su bili svjedoci pada od 5% u 2022. godini, pali su sa 2.667 prethodne godine na 2.531, iako žrtve sve više odbijaju da plate, što je dovelo do pada nezakonitih prihoda.
“Ovaj pad obima i vrijednosti napada vjerovatno je dijelom posljedica sve tvrđeg, kolaborativnog odgovora vlada i organa za provođenje zakona, i naravno globalnog uticaja rata u Ukrajini” rekao je Matt Hull, globalni šef obavještajne službe za prijetnje u NCC Group-i.
Unatoč padu, ransomware-a hakeri se takođe ispostavljaju kao “djelotvorni inovatori” koji su “voljni pronaći svaku priliku i tehniku da iznude novac od svojih žrtava s curenjem podataka i DDoS-om koji se dodaje u njihov arsenal kako bi prikrili sofisticiranije napade”, dodala je kompanija.
Izvor: The Hacker News