ВЕЛИКОБРИТАНИЯ и США ввели санкции против 11 членов российской банды киберпреступников TrickBot

[Carding]

Правительства Великобритании и США в четверг ввели санкции против 11 человек, которые, как утверждается, являются частью печально известной российской банды киберпреступников TrickBot.

"Россия долгое время была безопасным убежищем для киберпреступников, включая группу TrickBot", - заявило Министерство финансов США, добавив, что она имеет "связи с российскими разведывательными службами и нацелена на правительство США и американские компании, включая больницы".

Объектами санкций являются администраторы, менеджеры, разработчики и программисты, которые, как считается, оказывали материальную помощь в ее деятельности. Их имена и роли следующие -

• Андрей Жуйков (он же Адам, защитник и Dif), старший администратор
• Максим Сергеевич Галочкин (он же Bentley, Crypt, Manuel, Max17 и Volhvb), разработчик программного обеспечения и тестирование
• Максим Руденский (он же Бинман, Буза и Сильвер), руководитель группы программистов
• Михаил Царев (он же Александр Грачев, Fr * ances, Иванов Mixail, Mango, Миша Крутыша, Никита Андреевич Царев и Супер Миша), отдел кадров и финансов
• Дмитрий Путилин (он же Grad and Staff), покупка инфраструктуры TrickBot
• Максим Халиуллин (он же Кагас), менеджер по персоналу
• Сергей Логунцов (он же Begemot, Begemot_Sun и Zulas), разработчик
• Вадим Валиахметов (он же Mentos, Vasm и Уэлдон), разработчик
• Артем Куров (он же Нанед), разработчик
• Михаил Чернов (он же Bullet и m2686), входящий в группу internal utilities
• Александр Можаев (он же Грин и Рокко), член команды, ответственный за общие административные обязанности

Доказательства, собранные в конце прошлого месяца фирмой Nisos, занимающейся разведкой угроз, показали, что Галочкин "сменил имя на Максим Сергеевич Сипкин и что по состоянию на 2022 год у него имеется значительный финансовый долг".

"Эти лица, все граждане России, действовали вне досягаемости традиционных правоохранительных органов и скрывались за онлайн-псевдонимами и кличками", - заявило правительство Великобритании. "Лишение их анонимности подрывает целостность этих лиц и их преступного бизнеса, который угрожает безопасности Великобритании".

Во второй раз за семь месяцев правительства двух стран ввели аналогичные санкции против нескольких российских граждан за их принадлежность к синдикатам киберпреступности TrickBot, Ryuk и Conti.

Это также совпадает с обнародованием обвинительных заключений против девяти обвиняемых в связи с вредоносным ПО TrickBot и схемами вымогательства Conti, считая семерых из вновь подвергшихся санкциям лиц.

Дмитрий Плешевский, один из тех, на кого были наложены санкции в феврале 2023 года, с тех пор отрицает какую-либо причастность к банде TrickBot, заявляя, что он использовал псевдоним "Iseldor" онлайн для выполнения неуказанных программных задач на внештатной основе.

"Эти задания не казались мне незаконными, но, возможно, именно в этом заключается мое участие в этих атаках", - цитирует слова Плешевского WIRED, который разоблачил Галочкина как одного из ключевых членов TrickBot после многомесячного расследования.

На сегодняшний день в США задержаны два других разработчика TrickBot, которым предъявлены обвинения. Алла Витте, гражданка Латвии, признала себя виновной в сговоре с целью совершения компьютерного мошенничества и была приговорена к 32 месяцам в июне 2023 года. Россиянин по имени Владимир Дунаев в настоящее время находится под стражей и ожидает суда.

Эволюция банковского трояна Dyre TrickBot началась в аналогичном направлении в 2016 году, а затем превратилась в гибкий модульный набор вредоносных программ, который позволяет субъектам угрозы развертывать полезные программы следующего этапа, такие как программы-вымогатели.

Группа электронной преступности, которой удалось пережить попытку захвата в 2020 году, была поглощена картелем вымогателей Conti в начале 2022 года и, как свидетельствуют упомянутые выше роли, функционировала как законное предприятие с профессиональной структурой управления.

Conti официально распалась в мае 2022 года после волны утечек двумя месяцами ранее, которые позволили получить беспрецедентное представление о деятельности группы, что, в свою очередь, было вызвано поддержкой группой России в войне последней против Украины.

Анонимные дампы, получившие название ContiLeaks и TrickLeaks, появились с интервалом в несколько дней в начале марта 2022 года, что привело к обнародованию массивов данных об их внутренних чатах и онлайн-инфраструктуре. Предыдущий аккаунт с именем TrickBotLeaks, созданный в X (бывший Twitter), был быстро заблокирован.

"В общей сложности насчитывается около 250 000 сообщений, которые содержат более 2500 IP-адресов, около 500 потенциальных адресов криптокошельков и тысячи доменов и адресов электронной почты", - отметил Cyjax в июле 2022 года, ссылаясь на кэш данных TrickBot.

По данным Национального агентства по борьбе с преступностью Великобритании (NCA), группа, по оценкам, вымогала не менее 180 миллионов долларов у жертв по всему миру и не менее 27 миллионов фунтов стерлингов у 149 жертв в Великобритании.

Несмотря на продолжающиеся усилия по пресечению деятельности российских киберпреступников с помощью санкций и обвинительных заключений, участники угрозы продолжают процветать, хотя и действуют под разными именами, чтобы обойти запрет, и используют общую тактику для проникновения в цели.