Dans une action coordonnée unique en son genre, les gouvernements britannique et américain ont imposé jeudi des sanctions contre sept ressortissants russes pour leur affiliation à l’opération de cybercriminalité TrickBot, Ryuk et Conti.
Les particuliers désigné sous sanctions sont Vitaly Kovalev (alias Alex Konor, Bentley ou Bergen), Maksim Mikhailov (alias Baget), Valentin Karyagin (alias Globus), Mikhail Iskritskiy (alias Tropa), Dmitry Pleshevskiy (alias Iseldor), Ivan Vakhromeyev (alias Mushroom) , et Valery Sedletski (alias Strix).
« Les membres actuels du groupe TrickBot sont associés aux services de renseignement russes », a déclaré le département du Trésor américain. indiqué. « Les préparatifs du groupe TrickBot en 2020 les ont alignés sur les objectifs de l’État russe et le ciblage précédemment mené par les services de renseignement russes. »
TrickBot, qui est attribué à un acteur menaçant nommé ITG23, Gold Blackburn et Wizard Spider, est apparu en 2016 comme un dérivé du cheval de Troie bancaire Dyre et a évolué vers un cadre de malware hautement modulaire capable de distribuer des charges utiles supplémentaires. Le groupe a récemment changé d’orientation pour attaquer l’Ukraine.
La tristement célèbre plate-forme de logiciels malveillants en tant que service (MaaS), jusqu’à sa fermeture officielle au début de l’année dernière, a servi de véhicule de premier plan pour d’innombrables attaques de rançongiciels Ryuk et Conti, ce dernier prenant finalement le contrôle de l’entreprise criminelle TrickBot avant son propre arrêt à la mi-2022.
Au fil des ans, Wizard Spider a élargi ses outils personnalisés avec un ensemble de logiciels malveillants sophistiqués tels que Diavol, BazarBackdoor, Anchor et BumbleBee, tout en ciblant simultanément plusieurs pays et industries, notamment les universités, l’énergie, les services financiers et les gouvernements.
« Alors que les opérations de Wizard Spider ont considérablement diminué après la disparition de Conti en juin 2022, ces sanctions perturberont probablement les opérations de l’adversaire pendant qu’il cherche des moyens de contourner les sanctions », a déclaré Adam Meyers, responsable du renseignement chez CrowdStrike, dans un communiqué. déclaration.
« Souvent, lorsque les groupes cybercriminels sont interrompus, ils s’éteignent pendant un certain temps pour se renommer sous un nouveau nom. »
Selon le département du Trésor, les personnes sanctionnées seraient impliquées dans le développement de projets de rançongiciels et d’autres logiciels malveillants, ainsi que dans le blanchiment d’argent et l’injection de code malveillant sur des sites Web pour voler les informations d’identification des victimes.
Kovalev a également été accusé de complot en vue de commettre une fraude bancaire dans le cadre d’une série d’intrusions dans des comptes bancaires de victimes détenus dans des institutions financières basées aux États-Unis dans le but de transférer ces fonds vers d’autres comptes sous leur contrôle.
Les attaques, qui ont eu lieu en 2009 et 2010 et sont antérieures au rendez-vous de Kovalev avec Dyre et TrickBot, auraient conduit à des transferts non autorisés d’un montant de près d’un million de dollars, dont au moins 720 000 dollars ont été transférés à l’étranger.
De plus, Kovalev aurait également travaillé en étroite collaboration sur Gameover ZeuSun botnet peer-to-peer qui a été temporairement démantelé en 2014. Vyacheslav Igorevich Penchukov, l’un des opérateurs du malware Zeus, a été arrêté par les autorités suisses en novembre 2022.
Les responsables du renseignement britanniques en outre évalué que le groupe du crime organisé a des « liens étendus » avec une autre organisation basée en Russie connue sous le nom d’Evil Corp, qui a également été sanctionnée par les États-Unis en décembre 2019.
Le annonce est la dernière salve d’une bataille en cours pour perturber les gangs de rançongiciels et l’écosystème plus large des logiciels criminels, et se rapproche du démantèlement de l’infrastructure Hive le mois dernier.
Les efforts sont également compliqués car la Russie a longtemps offert un refuge pour groupes criminelsleur permettant de mener des attaques sans subir de répercussions tant que les assauts ne ciblent pas des cibles nationales ou ses alliés.
Les sanctions « donnent aux forces de l’ordre et aux institutions financières les mandats et les mécanismes nécessaires pour saisir les avoirs et causer des perturbations financières aux personnes désignées tout en évitant de criminaliser et de revictimiser la victime en la plaçant dans l’impossibilité de choisir entre payer une rançon pour récupérer son entreprise ou violant les sanctions », a déclaré Don Smith, vice-président de la recherche sur les menaces chez Secureworks.
Selon les données de NCC Group, les attaques de ransomwares ont connu une baisse de 5 % en 2022, passant de 2 667 l’année précédente à 2 531, alors même que les victimes refusent de plus en plus de payer, entraînant une chute des revenus illicites.
« Cette baisse du volume et de la valeur des attaques est probablement due en partie à une réponse collaborative de plus en plus dure des gouvernements et des forces de l’ordre, et bien sûr à l’impact mondial de la guerre en Ukraine », a déclaré Matt Hull, responsable mondial du renseignement sur les menaces chez NCC Group. , a dit.
Malgré la baisse, les acteurs des ransomwares s’avèrent également être des « innovateurs efficaces » qui sont « disposés à trouver n’importe quelle opportunité et technique pour extorquer de l’argent à leurs victimes avec des fuites de données et des DDoS ajoutés à leur arsenal pour masquer des attaques plus sophistiquées ». société ajoutée.