En una acción coordinada, la primera de su tipo, los gobiernos del Reino Unido y EE. UU. impusieron el jueves sanciones contra siete ciudadanos rusos por su afiliación a la operación de ciberdelincuencia TrickBot, Ryuk y Conti.
Los individuales designada bajo sanciones están Vitaly Kovalev (alias Alex Konor, Bentley o Bergen), Maksim Mikhailov (alias Baget), Valentin Karyagin (alias Globus), Mikhail Iskritskiy (alias Tropa), Dmitry Pleshevskiy (alias Iseldor), Ivan Vakhromeyev (alias Mushroom) y Valery Sedletski (alias Strix).
«Los miembros actuales del grupo TrickBot están asociados con los servicios de inteligencia rusos», el Departamento del Tesoro de EE. UU. anotado. «Los preparativos del grupo TrickBot en 2020 los alinearon con los objetivos estatales rusos y los objetivos previamente realizados por los servicios de inteligencia rusos».
TrickBot, que se atribuye a un actor de amenazas llamado ITG23, Gold Blackburn y Wizard Spider, surgió en 2016 como un derivado del troyano bancario Dyre y evolucionó hasta convertirse en un marco de malware altamente modular capaz de distribuir cargas útiles adicionales. El grupo cambió recientemente su enfoque para atacar a Ucrania.
La infame plataforma de malware como servicio (MaaS), hasta su cierre formal a principios del año pasado, sirvió como un vehículo destacado para innumerables ataques de ransomware Ryuk y Conti, y este último finalmente tomó el control de la empresa criminal TrickBot antes de su propio cierre a mediados de 2022.
A lo largo de los años, Wizard Spider ha ampliado sus herramientas personalizadas con un conjunto de malware sofisticado, como Diavol, BazarBackdoor, Anchor y BumbleBee, al mismo tiempo que se dirige a varios países e industrias, como la academia, la energía, los servicios financieros y los gobiernos.
«Si bien las operaciones de Wizard Spider se han reducido significativamente tras la desaparición de Conti en junio de 2022, estas sanciones probablemente interrumpirán las operaciones del adversario mientras buscan formas de eludir las sanciones», dijo Adam Meyers, jefe de inteligencia de CrowdStrike, en un comunicado. declaración.
«A menudo, cuando los grupos de ciberdelincuentes se interrumpen, se apagarán por un tiempo solo para cambiar su marca con un nuevo nombre».
Según el Departamento del Tesoro, se dice que las personas sancionadas están involucradas en el desarrollo de ransomware y otros proyectos de malware, así como en el lavado de dinero y la inyección de código malicioso en sitios web para robar las credenciales de las víctimas.
Kovalev también ha sido acusado de conspiración para cometer fraude bancario en relación con una serie de intrusiones en las cuentas bancarias de las víctimas en instituciones financieras con sede en los EE. UU. con el objetivo de transferir esos fondos a otras cuentas bajo su control.
Se dice que los ataques, que ocurrieron en 2009 y 2010 y son anteriores a la cita de Kovalev con Dyre y TrickBot, dieron lugar a transferencias no autorizadas por casi $ 1 millón, de los cuales al menos $ 720,000 se transfirieron al extranjero.
Es más, también se dice que Kovalev trabajó de cerca en Gameover ZeuSuna botnet peer-to-peer que se desmanteló temporalmente en 2014. Vyacheslav Igorevich Penchukov, uno de los operadores del malware Zeus, fue arrestado por las autoridades suizas en noviembre de 2022.
funcionarios de inteligencia del Reino Unido más juzgado que el grupo del crimen organizado tiene «amplios vínculos» con otro equipo con sede en Rusia conocido como Evil Corp, que también fue sancionado por Estados Unidos en diciembre de 2019.
El anuncio es la última salva en una batalla en curso para interrumpir las pandillas de ransomware y el ecosistema de crimeware más amplio, y se acerca poco después del desmantelamiento de la infraestructura de Hive el mes pasado.
Los esfuerzos también son complicados ya que Rusia ha mucho tiempo ofrecido a Refugio seguro para grupos criminaleslo que les permite llevar a cabo ataques sin enfrentarse a ninguna repercusión, siempre que los ataques no apunten a objetivos domésticos o sus aliados.
Las sanciones «otorgan a las instituciones financieras y de aplicación de la ley los mandatos y mecanismos necesarios para incautar activos y causar trastornos financieros a las personas designadas, al tiempo que evitan criminalizar y volver a victimizar a la víctima al colocarla en la posición imposible de elegir entre pagar un rescate para recuperar su negocio o violar sanciones», dijo Don Smith, vicepresidente de investigación de amenazas en Secureworks,
Según datos de NCC Group, los ataques de ransomware experimentaron una disminución del 5 % en 2022, pasando de 2667 el año anterior a 2531, incluso cuando las víctimas se niegan cada vez más a pagar, lo que provoca una caída en los ingresos ilícitos.
«Esta disminución en el volumen y el valor de los ataques probablemente se deba en parte a una respuesta colaborativa cada vez más dura de los gobiernos y las fuerzas del orden y, por supuesto, el impacto global de la guerra en Ucrania», dijo Matt Hull, jefe global de inteligencia de amenazas en NCC Group. , dicho.
A pesar de la caída, los actores de ransomware también se están convirtiendo en «innovadores efectivos» que están «dispuestos a encontrar cualquier oportunidad y técnica para extorsionar a sus víctimas con fugas de datos y DDoS que se agregan a su arsenal para enmascarar ataques más sofisticados». agregó la compañía.