Los gobiernos de Reino Unido y Estados Unidos sancionaron el jueves a 11 personas que presuntamente forman parte de la famosa banda de ciberdelincuentes TrickBot, con sede en Rusia.
«Rusia ha sido durante mucho tiempo un refugio seguro para los ciberdelincuentes, incluido el grupo TrickBot», dijo el Departamento del Tesoro de EE.UU. dichoy agregó que tiene «vínculos con los servicios de inteligencia rusos y ha apuntado al gobierno y a las empresas estadounidenses, incluidos los hospitales».
Los objetivos de las sanciones son administradores, gerentes, desarrolladores y codificadores que se cree que brindaron asistencia material en sus operaciones. Sus nombres y funciones son los siguientes:
- Andrey Zhuykov (también conocido como Adam, Defender y Dif), administrador senior
- Maksim Sergeevich Galochkin (también conocido como Bentley, Crypt, Manuel, Max17 y Volhvb), desarrollo y pruebas de software
- Maksim Rudenskiy (también conocido como Binman, Buza y Silver), líder del equipo de codificadores
- Mikhail Tsarev (alias Alexander Grachev, Fr*ances, Ivanov Mixail, Mango, Misha Krutysha, Nikita Andreevich Tsarev y Super Misha), recursos humanos y finanzas
- Dmitry Putilin (también conocido como Grad and Staff), compra de infraestructura TrickBot
- Maksim Khaliullin (también conocido como Kagas), director de recursos humanos
- Sergey Loguntsov (también conocido como Begemot, Begemot_Sun y Zulas), desarrollador
- Vadym Valiakhmetov (también conocido como Mentos, Vasm y Weldon), desarrollador
- Artem Kurov (alias Naned), desarrollador
- Mikhail Chernov (también conocido como Bullet y m2686), parte del grupo de servicios públicos internos
- Alexander Mozhaev (también conocido como Green y Rocco), parte del equipo responsable de las tareas administrativas generales
Evidencia recopilada por la firma de inteligencia de amenazas Nisos a fines del mes pasado reveló que Galochkin «cambió su nombre de Maksim Sergeevich Sipkin y que tiene una deuda financiera importante a partir de 2022».
«Los individuos, todos de nacionalidad rusa, operaron fuera del alcance de las autoridades tradicionales y se escondieron detrás de seudónimos y apodos en línea», dijo el gobierno del Reino Unido. dicho. «Quitar su anonimato socava la integridad de estos individuos y sus negocios criminales que amenazan la seguridad del Reino Unido».
Se trata de la segunda vez en siete meses que los dos gobiernos imponen sanciones similares contra varios ciudadanos rusos por su afiliación a los sindicatos de delitos cibernéticos TrickBot, Ryuk y Conti.
También coincide con la apertura de acusaciones contra nueve acusados en relación con los esquemas de malware Trickbot y ransomware Conti, contando siete de las personas recientemente sancionadas.
Dmitriy Pleshevskiy, uno de los sancionados en febrero de 2023, ha negado desde entonces cualquier implicación con la banda TrickBot, afirmando que utilizó el alias «Iseldor» en línea para realizar tareas de programación no especificadas de forma independiente.
«Estas tareas no me parecieron ilegales, pero quizás ahí es donde entra en juego mi participación en estos ataques», dijo Pleshevskiy. citado como dijo a WIRED, que desenmascaró a Galochkin como uno de los miembros clave de TrickBot después de una investigación de meses.
Otros dos desarrolladores de TrickBot han sido detenidos y acusados en Estados Unidos hasta la fecha. Alla Witte, ciudadana letona, se declaró culpable de conspiración para cometer fraude informático y fue sentenciado a 32 meses en junio de 2023. Un ruso llamado Vladimir Dunaev se encuentra actualmente bajo custodia y pendiente de juicio.
TrickBot, una evolución del troyano bancario Dyre, comenzó con líneas similares en 2016 antes de evolucionar hacia un conjunto de malware modular y flexible que permite a los actores de amenazas implementar cargas útiles de siguiente etapa, como ransomware.
Demasiado vulnerable: descubrir el estado de la superficie de ataque a la identidad
¿Consiguió el MFA? ¿PAM? ¿Protección de la cuenta de servicio? Descubra qué tan bien equipada está realmente su organización contra las amenazas a la identidad
El grupo de delitos electrónicos, que logró sobrevivir a un intento de desmantelamiento en 2020, fue absorbido por el cártel de ransomware Conti a principios de 2022 y, como lo demuestran las funciones mencionadas anteriormente, funcionaba como una empresa legítima con una estructura de gestión profesional.
Conti se disolvió formalmente en mayo de 2023 tras una ola de filtraciones dos meses antes que ofrecieron una visión sin precedentes de las actividades del grupo, que, a su vez, fue provocada por el apoyo del grupo a Rusia en la guerra de este último contra Ucrania.
Los vertederos anónimos, denominados ContiLeaks y trucossurgieron con unos días de diferencia a principios de marzo de 2022, lo que resultó en el lanzamiento de resmas de datos en sus chats internos e infraestructura en línea. Una cuenta anterior llamada TrickBotLeaks que fue creado en X (anteriormente Twitter) fue suspendido rápidamente.
«En total, hay aproximadamente 250.000 mensajes que contienen más de 2.500 direcciones IP, alrededor de 500 direcciones potenciales de billeteras criptográficas y miles de dominios y direcciones de correo electrónico», Cyjax anotado en julio de 2022, en referencia al caché de datos de TrickBot.
Según la Agencia Nacional contra el Crimen del Reino Unido (NCA), el grupo está estimado haber extorsionado al menos 180 millones de dólares a víctimas en todo el mundo, y al menos 27 millones de libras esterlinas a 149 víctimas en el Reino Unido
A pesar de los esfuerzos en curso para interrumpir la actividad cibercriminal rusa mediante sanciones y acusaciones, los actores de amenazas continúan prosperando, aunque operan bajo diferentes nombres para evadir la prohibición y aprovechan tácticas compartidas para infiltrarse en objetivos.