«По оценкам NCA, эта группа была ответственна за вымогательство не менее 180 млн долларров у жертв по всему миру, а также не менее 27 млн фунтов стерлингов у 149 жертв в Великобритании. Целью злоумышленников становились британские больницы, школы, местные органы власти и предприятия», — заявляет Национального агентства по борьбе с преступностью Великобритании.
США и Великобритания ввели санкции в отношении 11 граждан России, которых считают причастными вымогательским операциям TrickBot и Conti.«Сегодняшние цели включают ключевых участников, вовлеченных в управление и снабжение группировки Trickbot, которая атаковала правительство США и американские компании, включая больницы, — гласит заявление Министерства финансов. — Во время пандемии COVID-19 группа Trickbot атаковала многие объекты критической инфраструктуры и медицинские учреждения в США».
Напомню, что хак-группа TrickBot (она же ITG23, Gold Blackburn и Wizard Spider) считается финансово мотивированной группировкой, которая известна в основном благодаря разработке одноименного банковского трояна TrickBot.
С годами TrickBot эволюционировал из классического банкера, предназначенного для кражи средств с банковских счетов, до многофункционального дроппера, распространяющего другие угрозы (от майнеров и шифровальщиков до инфостилеров). В прошлом году TrickBot и вовсе перешел под управление операторов малвари Conti, которая использовала вредоносное ПО группы для поддержания собственных атак и усиления таких вредоносов как BazarBackdoor и Anchor.
После февраля 2022 года исследователь слил внутреннюю переписку группировки Conti, а вскоре после этого другой человек под псевдонимом TrickLeaks начал сливать информацию о работе TrickBot, что подтвердило связь между этими группировками.
В конечном итоге эти утечки привели к тому, что Conti прекратила свою деятельность и распалась на несколько других группировок, включая Royal, Black Basta и ZEON.
Как теперь сообщают правительств США и Великобритании, на 11 участников TrickBot и Conti теперь наложены санкции в связи с их киберпреступной деятельностью, которая привела к краже 180 млн долларов у компаний и организаций по всему миру.
Министерство финансов США тоже объявило о введении санкций:
Результатом введенных санкций должна стать блокировка всего имущества и средств, принадлежащих хакерам, в США и Великобритании. Также физическим лицам и компаниям отныне запрещено совершать транзакции с этими физическими лицами, включая выплаты выкупов.
Ниже перечислены 11 человек, в отношении которых введены санкции. По данным властей, все они являются гражданами России.
Андрей Жуйков считается одним из глав группировки, который выполнял функции старшего администратора. В сети известен под никами Dif и Defender.
Максим Галочкин руководил группой тестировщиков, отвечая за разработку, контроль и проведение тестов. В сети известен под никами Bentley, Crypt, Volhvb.
Максим Руденский так же считается одним из ключевых участников группы Trickbot и руководителем кодеров.
Михаил Царев якобы занимал в группе должность менеджера, курировал вопросы управления персоналом и финансами, а также отвечал за управление и ведение бухгалтерского учета. В сети известен под никами Mango, Super Misha, «Александр Грачев», Ivanov Mixail, «Миша Крутыша», «Никита Андреевич Царев».
Дмитрий Путилин якобы имел отношение к закупкам для инфраструктуры Trickbot. В сети известен под никами Grad и Staff.
Максим Халиуллин по мнению властей, был менеджером по персоналу хак-группы, а также связан с закупками для инфраструктуры Trickbot, в том числе виртуальных частных серверов (VPS). В сети известен под ником Kagas.
Сергей Логунцов считается одним из разработчиков Trickbot.
Вадим Валиахметов якобы был кодером Trickbot, известен под никами Weldon, Mentos, Vasm.
Артем Куров так же считается одним из кодеров и разработчиков Trickbot. В сети известен под псевдонимом Naned.
Михаил Чернов якобы входил в utilities-группу Trickbot и был известен под ником Bullet.
Александр Можаев считается одним из администраторов, отвечавших за общие административные функции, в сети известен как Green и Rocco.
Все это дополняет санкции, уже введенные против семи участников TrickBot в феврале 2023 года.
Как уже отмечалось выше, после «закрытия» Conti многие участники группировки перешли в других хак-группы, то есть введенные санкции могут значительно затруднить выплату выкупов другим вымогателям. Считается, что в этот список входят BlackCat, Royal Group, AvosLocker, Karakurt, LockBit, Silent Ransom и DagonLocker.
В прошлом аналогичные санкции уже приводили к закрытию и «ребрендингу» вымогательских групп, так как фирмы-переговорщики отказывались перечислять выплаты лицам, попавшим под санкции.