İngiltere ve ABD hükümetleri Perşembe günü, Rusya merkezli kötü şöhretli TrickBot siber suç çetesinin parçası olduğu iddia edilen 11 kişiye yaptırım uyguladı.
ABD Hazine Bakanlığı, “Rusya uzun süredir TrickBot grubu da dahil olmak üzere siber suçlular için güvenli bir sığınak olmuştur.” söz konusu“Rus istihbarat servisleriyle bağları olduğunu ve ABD Hükümeti ile hastaneler de dahil olmak üzere ABD şirketlerini hedef aldığını” ekledi.
Yaptırımların hedefleri, operasyonlarında maddi yardım sağladığına inanılan yöneticiler, idareciler, geliştiriciler ve kodlayıcılardır. İsimleri ve rolleri şöyle:
- Andrey Zhuykov (aka Adam, Defender ve Dif), üst düzey yönetici
- Maksim Sergeevich Galochkin (diğer adıyla Bentley, Crypt, Manuel, Max17 ve Volhvb), yazılım geliştirme ve test etme
- Maksim Rudenskiy (diğer adıyla Binman, Buza ve Silver), kodlayıcıların ekip lideri
- Mikhail Tsarev (aka Alexander Grachev, Fr*ances, Ivanov Mixail, Mango, Misha Krutysha, Nikita Andreevich Tsarev ve Super Misha), insan kaynakları ve finans
- Dmitry Putilin (diğer adıyla Grad ve Staff), TrickBot altyapısının satın alınması
- Maksim Khaliullin (aka Kagas), İK müdürü
- Sergey Loguntsov (diğer adıyla Begemot, Begemot_Sun ve Zulas), geliştirici
- Vadym Valiakhmetov (diğer adıyla Mentos, Vasm ve Weldon), geliştirici
- Artem Kurov (namı diğer Naned), geliştirici
- Mikhail Chernov (aka Bullet ve m2686), dahili kamu hizmetleri grubunun bir parçası
- Alexander Mozhaev (diğer adıyla Green ve Rocco), genel idari görevlerden sorumlu ekibin bir parçası
Tehdit istihbaratı firması Nisos tarafından geçen ayın sonlarında toplanan kanıtlar açıklığa kavuşmuş Galochkin’in “adını Maksim Sergeevich Sipkin’den değiştirdiğini ve 2022 itibarıyla önemli miktarda mali borcunun olduğunu” söyledi.
Birleşik Krallık hükümeti, “Tamamı Rus vatandaşı olan kişiler, geleneksel kolluk kuvvetlerinin ulaşamayacağı yerlerde faaliyet gösterdiler ve çevrimiçi takma adların ve takma isimlerin arkasına saklandılar.” söz konusu. “Bu kişilerin anonimliklerinin kaldırılması, bu kişilerin ve onların Birleşik Krallık güvenliğini tehdit eden suç işlerinin bütünlüğünü zedeler.”
Bu gelişme, iki hükümetin TrickBot, Ryuk ve Conti siber suç örgütleriyle bağlantıları nedeniyle birden fazla Rus vatandaşına karşı yedi ay içinde ikinci kez benzer yaptırımlar uygulamasına işaret ediyor.
Aynı zamanda şuna da denk geliyor: iddianamelerin açıklanması aykırı dokuz sanık Trickbot kötü amaçlı yazılımı ve Conti fidye yazılımı planlarıyla bağlantılı olarak yeni yaptırım uygulanan kişilerden yedisi sayılıyor.
Şubat 2023’te yaptırım uygulananlardan biri olan Dmitriy Pleshevskiy, o zamandan beri TrickBot çetesiyle herhangi bir ilgisini reddetti ve çevrimiçi olarak “Iseldor” takma adını serbest olarak belirtilmemiş programlama görevlerini yapmak için kullandığını belirtti.
Pleshevskiy, “Bu görevler bana yasa dışı gelmedi, ancak belki de benim bu saldırılara katılımım buradan kaynaklanıyor.” alıntı Aylar süren bir soruşturmanın ardından Galochkin’in TrickBot’un kilit üyelerinden biri olduğunu ortaya çıkaran WIRED’e böyle söylüyor.
Bugüne kadar ABD’de iki TrickBot geliştiricisi daha tutuklandı ve hakkında dava açıldı. Letonya vatandaşı Alla Witte, bilgisayar sahtekarlığı yapmak için komplo kurma suçunu kabul etti ve tutuklandı. 32 ay hapis cezasına çarptırıldı Haziran 2023’te. Vladimir Dunaev adında bir Rus şu anda gözaltında ve yargılanmayı bekliyor.
Dyre bankacılık truva atının bir evrimi olan TrickBot, 2016 yılında benzer şekilde yola çıktı ve ardından tehdit aktörlerinin fidye yazılımı gibi sonraki aşamadaki yükleri dağıtmasına olanak tanıyan esnek, modüler bir kötü amaçlı yazılım paketine dönüştü.
Çok Savunmasız: Kimlik Saldırısı Yüzeyinin Durumunun Ortaya Çıkarılması
MFA’yı başardınız mı? PAM’mi? Hizmet hesabı koruması? Kuruluşunuzun kimlik tehditlerine karşı gerçekte ne kadar donanımlı olduğunu öğrenin
2020 yılındaki ortadan kaldırma çabasından sağ çıkmayı başaran e-suç grubu, 2022’nin başlarında Conti fidye yazılımı kartelinin eline geçti ve yukarıda belirtilen rollerin de gösterdiği gibi, profesyonel yönetim yapısına sahip meşru bir kuruluşa benzer şekilde çalıştı.
Conti, iki ay önce grubun faaliyetleri hakkında benzeri görülmemiş bilgiler sunan bir sızıntı dalgasının ardından Mayıs 2023’te resmen dağıldı ve bu da grubun Ukrayna’ya karşı savaşında Rusya’ya verdiği destekle tetiklendi.
İsimsiz çöplükler, lakaplı ContiLeaks Ve TrickLeaksMart 2022’nin başında birkaç gün arayla ortaya çıktı ve bunun sonucunda tonlarca veri dahili sohbetlerinde ve çevrimiçi altyapılarında. Adı verilen önceki bir hesap TrickBotLeaks X’te (eski adıyla Twitter) oluşturulan hızla askıya alındı.
Cyjax, “Toplamda 2.500’den fazla IP adresi, yaklaşık 500 potansiyel kripto cüzdan adresi ve binlerce alan adı ve e-posta adresi içeren yaklaşık 250.000 mesaj var.” kayıt edilmiş Temmuz 2022’de TrickBot verilerinin önbelleğine atıfta bulunuluyor.
Birleşik Krallık Ulusal Suç Ajansı’na (NCA) göre grup, tahmini Dünya çapındaki kurbanlardan en az 180 milyon dolar, Birleşik Krallık’taki 149 kurbandan ise en az 27 milyon sterlin gasp edilmiş
Yaptırımlar ve iddianameler yoluyla Rusya’nın siber suç faaliyetlerini sekteye uğratmaya yönelik devam eden çabalara rağmen, tehdit aktörleri, yasağı aşmak için farklı isimler altında faaliyet gösterse ve hedeflere sızmak için ortak taktiklerden yararlansa da, gelişmeye devam ediyor.