Андрей Жуйков взломал на ограничения
Лидер группы TrickBot и его 10 сообщников попали под санкции США и Великобритании за вымогательство более $180 млн по всему миру и £27 млн у 149 британцев
Оригинал этого материала© Xakep.ru, 08.09.2023, США и Великобритания наложили санкции на 11 россиян, якобы связанных с Trickbot
Мария Нефедова
США и Великобритания ввели санкции в отношении 11 граждан России, которых считают причастными вымогательским операциям TrickBot и Conti.
Напомню, что хак-группа TrickBot (она же ITG23, Gold Blackburn и Wizard Spider) считается финансово мотивированной группировкой, которая известна в основном благодаря разработке одноименного банковского трояна TrickBot.
С годами TrickBot эволюционировал из классического банкера, предназначенного для кражи средств с банковских счетов, до многофункционального дроппера, распространяющего другие угрозы (от майнеров и шифровальщиков до инфостилеров). В прошлом году TrickBot и вовсе перешел под управление операторов малвари Conti, которая использовала вредоносное ПО группы для поддержания собственных атак и усиления таких вредоносов как BazarBackdoor и Anchor.
После февраля 2022 года исследователь слил внутреннюю переписку группировки Conti, а вскоре после этого другой человек под псевдонимом TrickLeaks начал сливать информацию о работе TrickBot, что подтвердило связь между этими группировками.
В конечном итоге эти утечки привели к тому, что Conti прекратила свою деятельность и распалась на несколько других группировок, включая Royal, Black Basta и ZEON.
Как теперь сообщают правительств США и Великобритании, на 11 участников TrickBot и Conti теперь наложены санкции в связи с их киберпреступной деятельностью, которая привела к краже 180 млн долларов у компаний и организаций по всему миру.
«По оценкам NCA, эта группа была ответственна за вымогательство не менее 180 млн долларров у жертв по всему миру, а также не менее 27 млн фунтов стерлингов у 149 жертв в Великобритании. Целью злоумышленников становились британские больницы, школы, местные органы власти и предприятия», — заявляет Национального агентства по борьбе с преступностью Великобритании.
Министерство финансов США тоже объявило о введении санкций:
«Сегодняшние цели включают ключевых участников, вовлеченных в управление и снабжение группировки Trickbot, которая атаковала правительство США и американские компании, включая больницы, — гласит заявление Министерства финансов. — Во время пандемии COVID-19 группа Trickbot атаковала многие объекты критической инфраструктуры и медицинские учреждения в США».
Результатом введенных санкций должна стать блокировка всего имущества и средств, принадлежащих хакерам, в США и Великобритании. Также физическим лицам и компаниям отныне запрещено совершать транзакции с этими физическими лицами, включая выплаты выкупов.
Ниже перечислены 11 человек, в отношении которых введены санкции. По данным властей, все они являются гражданами России.
Андрей Жуйков считается одним из глав группировки, который выполнял функции старшего администратора. В сети известен под никами Dif и Defender.
Максим Галочкин руководил группой тестировщиков, отвечая за разработку, контроль и проведение тестов. В сети известен под никами Bentley, Crypt, Volhvb.
Максим Руденский так же считается одним из ключевых участников группы Trickbot и руководителем кодеров.
Михаил Царев якобы занимал в группе должность менеджера, курировал вопросы управления персоналом и финансами, а также отвечал за управление и ведение бухгалтерского учета. В сети известен под никами Mango, Super Misha, «Александр Грачев», Ivanov Mixail, «Миша Крутыша», «Никита Андреевич Царев».
Дмитрий Путилин якобы имел отношение к закупкам для инфраструктуры Trickbot. В сети известен под никами Grad и Staff.
Максим Халиуллин по мнению властей, был менеджером по персоналу хак-группы, а также связан с закупками для инфраструктуры Trickbot, в том числе виртуальных частных серверов (VPS). В сети известен под ником Kagas.
Сергей Логунцов считается одним из разработчиков Trickbot.
Вадим Валиахметов якобы был кодером Trickbot, известен под никами Weldon, Mentos, Vasm.
Артем Куров так же считается одним из кодеров и разработчиков Trickbot. В сети известен под псевдонимом Naned.
Михаил Чернов якобы входил в utilities-группу Trickbot и был известен под ником Bullet.
Александр Можаев считается одним из администраторов, отвечавших за общие административные функции, в сети известен как Green и Rocco.
"РАПСИ", 08.09.2023, "В США против группы россиян выдвинуты обвинения в кибермошенничестве": Каждому фигуранту инкриминируется сговор с целью нарушения закона США о борьбе с компьютерным мошенничеством и компьютерными злоупотреблениями, сговор с целью совершения мошенничества с использованием электронных средств и сговор с целью отмывания полученных в результате совершения вышеуказанных преступлений денежных средств. В случае признания виновным каждому обвиняемому грозит максимальное наказание в виде 62 лет тюремного заключения. [...]
Галочкину, Руденскому, Цареву и Жуйкову предъявлены обвинения в сговоре с целью нарушения закона США о борьбе с компьютерным мошенничеством и компьютерными злоупотреблениями и сговоре с целью совершения мошенничества с использованием электронных средств. В случае признания их вины, каждому фигуранту грозит максимальное наказание в виде 25 лет тюремного заключения. Кроме того, федеральное большое жюри Южного округа Калифорнии вынесло обвинительное заключение в отношении Галочкина в связи с использованием программы-вымогателя Conti для кибератаки на некоммерческую интегрированную систему оказания медицинских услуг Scripps Health 1 мая 2021 года. Действия Галочкина, указывается в документе, привели к воспрепятствованию медицинскому обследованию, диагностике, лечению и уходу за одним или несколькими лицами. Галочкину предъявлено обвинение в компьютерном взломе по трем пунктам. Если его признают виновным, ему грозит максимальное наказание в виде 20 лет лишения свободы.
Ранее, уточняет Минюст, по схожим обвинениям были задержаны разработчики Trickbot — гражданка Латвии Алла Витте и россиянин Владимир Дунаев. Витте признала вину в сговоре с целью осуществления компьютерного мошенничества и была приговорена к более чем 2,5 годам тюремного заключения в июне 2023 года. Дунаев, как уже сообщало РАПСИ, находится в предварительном заключении в ожидании суда. — Врезка К.ру
Все это дополняет санкции, уже введенные против семи участников TrickBot в феврале 2023 года.
Лента.Ру, 09.02.2023, "США и Великобритания ввели санкции против российских хакеров": В Вашингтоне и Лондоне утверждают, что нынешние члены Trickbot координируются российскими спецслужбами и действуют по указу руководства России. Отмечается, что трояны Trickbot заразили миллионы компьютеров по всему миру, включая компьютеры американских компаний. — Врезка К.ру
Как уже отмечалось выше, после «закрытия» Conti многие участники группировки перешли в другие хак-группы, то есть введенные санкции могут значительно затруднить выплату выкупов другим вымогателям. Считается, что в этот список входят BlackCat, Royal Group, AvosLocker, Karakurt, LockBit, Silent Ransom и DagonLocker.
В прошлом аналогичные санкции уже приводили к закрытию и «ребрендингу» вымогательских групп, так как фирмы-переговорщики отказывались перечислять выплаты лицам, попавшим под санкции.
Как взаимодействовали между собой участники хак-группы TrickBot
Оригинал этого материала© onff.ru, 09.09.2023, Разоблачение Trickbot, одной из ведущих мировых киберпреступных группировок
Расследование WIRED, проведенное на основе кэша документов, размещенных неизвестным лицом, раскрывает секреты группы Trickbot, занимающейся распространением вымогательского ПО, в том числе личность одного из ее центральных членов.
Максим Сергеевич Г.
Чрезвычайно активен в Интернете. В своем рабочем чате 41-летний мужчина переписывается с коллегами днем и ночью. Он жалуется, что теряет деньги на торговле криптовалютой, говорит, что "чертовски зависим" от Metallica, и соглашается с коллегой, что криминальный триллер "Хакеры" — идеальный фильм для выходных. Галочкин признается своему коллеге, что предпочитает работать в офисе, там ему легче сосредоточиться — жена "ругает" его, когда он дома. И он знает, чего хочет в жизни.
"У меня большие цели", — сказал он коллеге в сентябре 2021 года. "Я хочу быть богатым. Миллионером". Его более идеалистичный коллега называет деньги "ерундовой целью". Но у мужчины есть план. "Нет, — отвечает он, — деньги — это средство для достижения желаемого".
Он может показаться обычным офисным работником, но на самом деле выбрал правильную профессию, которая позволяет ему зарабатывать большие деньги. По данным многочисленных исследователей киберпреступности, мужчина является одним из ключевых членов печально известного российского киберпреступного синдиката Trickbot, который за последние годы организовал тысячи кибератак, нанеся ущерб предприятиям, больницам и даже правительствам по всему миру. Коллеги по Trickbot знают его по сетевым псевдонимам: Бентли и Мануэль.
Разоблачение стало результатом многомесячного расследования, проведенного WIRED с участием нескольких российских экспертов по кибербезопасности и киберпреступности, которые связывают его с псевдонимом Bentley. Анализ включает в себя подробную оценку огромного объема данных, которые утекли из группы вымогателей и размещены в Интернете. Данное расследование также проливает свет на внутреннее устройство киберпреступного синдиката Trickbot, позволяет связать его ключевых участников с более широким кругом киберпреступников и обнаружить связи между этими преступными группами.
В марте 2022 года аккаунт в Twitter, известный как "Trickleaks", опубликовал тысячи журналов онлайн-чатов, снятых примерно с 35 членов группировки. Общий размер группы Trickbot оценить сложно, но, по оценкам исследователей, в нее входит от 100 до 400 человек. Анонимный наводчик опубликовал 250 тыс. внутренних сообщений Trickbot и серию самодельных досье, раскрывающих людей, предположительно стоящих за этой группировкой. Находка включает в себя настоящие имена, фотографии, учетные записи в социальных сетях, номера паспортов, телефоны, города проживания и другие личные данные предполагаемых членов банды.
В кэш также включены 2500 IP-адресов, 500 криптовалютных кошельков, тысячи доменов и адресов электронной почты. В совокупности эти файлы представляют собой один из крупнейших в истории сливов данных киберпреступных группировок.
На момент публикации в начале 2022 года файлы Trickleaks были практически не замечены общественностью, поскольку внимание мировой общественности было сосредоточено на других проблемах и очередной крупной утечке данных от группы разработчиков вымогательского ПО Conti, которая, по мнению исследователей, имеет тесные связи с Trickbot.
Но утечка Trickleaks не осталась незамеченной мировыми правоохранительными органами, которые оценили эти данные. Ее публикация в прошлом году произошла на фоне согласованных усилий США и Великобритании по пресечению деятельности российских киберпреступников, включая некоторых членов Trickbot.
Однако такие правительственные расследования зачастую отстают от текущей повестки на годы и предполагают долгосрочную стратегическую координацию. Для киберпреступников, стремящихся к анонимности, очень важно сохранять дистанцию со своими коллегами.
Но когда вы переписываетесь друг с другом целый день, даже самые конфиденциальные и заботящиеся о безопасности люди могут раскрыть какую-то личную информацию. И в случае с Бентли такие оплошности невольно помогли раскрыть его истинную личность, считают исследователи.
Например, в июне 2020 года участник программы Trickbot под ником Defender попросил у Бентли адрес в службе мгновенного обмена сообщениями Jabber, чтобы они могли общаться вне внутренних каналов группы. По словам исследователей из компании Nisos, занимающейся кибербезопасностью, которые по просьбе WIRED провели расследование, Бентли отправил своему коллеге электронный адрес пользователя.
Главный исследователь Nisos Винцас Чизюнас связал Jabber-контакт с адресом электронной почты и аккаунтом YouTube с аналогичным названием, на котором размещались видеоролики о торговле криптовалютами. На одном из видеороликов, размещенных на YouTube под ником "Mrvolhvb", видно, что пользователь также входит в Jabber-аккаунт в другом окне. "Он использует логин во многих местах", — сказал Чижюнас.
Виталий Кремез, давний исследователь в области кибербезопасности, который много работал над Conti и Trickbot, также заметил ошибку в видеоролике. В марте 2022 года Кремез, погибший в конце прошлого года в результате несчастного случая при погружении с аквалангом, утверждал, что за ником Bentley скрывается "Макс".
Благодаря информации о российской телефонной индустрии, утечкам данных и другим сведениям, полученным компанией Nisos, аккаунт Gmail был связан с номером телефона Бентли. Эта связь помогла раскрыть личность человека в офлайне. Записи, полученные компанией Nisos, связали номер телефона Бентли с адресом в городе Абакан. Дальнейшее исследование компании показало, что он родился в мае 1982 года, а его идентификационный номер налогоплательщика свидетельствует о том, что ранее он носил юридическое имя Максим Сергеевич С. Как выяснила компания Nisos, эти имена связывают одинаковая дата рождения и номер российского паспорта.
Другие исследователи в области кибербезопасности, следившие за Trickbot, согласны с тем, что за Bentley стоит Максим Сергеевич.
Алекс Холден (Alex Holden), президент и директор по информационной безопасности компании Hold Security и исследователь, который следит за Trickbot уже несколько лет, говорит, что данные о личности Бентли "очень хорошо согласуются" с его предыдущими выводами.
Радое Васович, генеральный директор компании Cybernite Intelligence, анализировавший данные Trickleaks и проводивший исследования в открытых источниках, также уверен, что этот человек — это Бентли. В декабре 2022 года немецкая газета Die Zeit также опубликовала расследование о Конти, в котором Бентли был идентифицирован как "Максим Г.".
Разоблачение имеет большое значение. По словам Холдена, Бентли является одним из "ключевых людей", управляющих Trickbot, отчасти благодаря своему опыту и связям в мире киберпреступности. Хотя существует множество российских киберпреступных группировок, представляющих значительную глобальную угрозу, Trickbot привлекает особое внимание и вызывает репрессии из-за серьезности своих преступлений. Например, в преддверии выборов 2020 года в США Киберкомандование США провело необычайно публичную атаку, направленную на уничтожение ботнета Trickbot. В последующие недели компании, в том числе Microsoft, предприняли юридические и технические меры по обезвреживанию сети Trickbot в рамках защиты избирательной и других критически важных инфраструктур.
Киберпреступники часто избегают ответственности, оставаясь безымянными и безликими. Но можно составить подробную картину их деятельности как внутри, так и вне Trickbot.
На фотографии, появившейся в профилях киберпреступника на GitHub и Gravatar, он выглядит хорошо сложенным мужчиной, с густыми темно-коричневыми бровями и такой же темно-коричневой бородой. У него длинные седые волосы, он позирует на склоне горы, с туристическим рюкзаком, в джинсах и белой футболке. Когда была сделана фотография, неизвестно.
Утечка сообщений также свидетельствует о том, что работа Бентли могла стать причиной напряженности в его личной жизни. В одном из сообщений он рассказывает коллеге, что его жена смирилась с тем, чем он занимается. "Я говорю ей, что мы портим жизнь высокомерным мудакам из американских корпораций", — говорится в одном из сообщений. "Главное, чтобы мы не преследовали простых бедных людей".
Странное происхождение
Никто не знает, откуда взялись данные Trickleaks, и никто никогда не брал на себя ответственность за утечку. "При том объеме информации, к которому они имели доступ, это был либо кто-то, кто хорошо внедрился в систему, либо исследователь, который нашел бы способ проникнуть довольно глубоко в их инфраструктуру", — говорит Джо Вриден, аналитик по киберугрозам из Cyjax, составивший единственный крупный публичный отчет о Trickleaks и проанализировавший сообщения Бентли для WIRED.
Размещенные Trickleaks разведывательные досье обнаруживают ряд сходств между предполагаемыми членами банды. Все они — мужчины. Многие публично заявляют, что работают в сфере технологий. В основном они базируются в России, некоторые — в крупных городах, таких как Москва и Санкт-Петербург, другие — в небольших населенных пунктах. Утверждается, что один из членов банды проживает в Беларуси. Возраст всех предполагаемых членов банды, указанных в утечке, составляет от 25 до 40 лет.
По словам Вридена, тот, кто составлял досье, скорее всего, объединил внешнюю информацию с данными из собственных систем группировки, поскольку такие детали в документах, как налоговые номера и трудовые книжки, в просочившихся сообщениях чата не фигурируют.
Хотя неясно, все ли лица, названные в утечках, работают на Trickbot, Холден говорит, что многие детали совпадают с тем, что он видел ранее. Например, сведения о члене Trickbot, известном под именем Tropa, опубликованные Trickleaks, совпадают с именем, возрастом и электронной почтой, указанными в санкционных документах.
Однако есть и некоторые несоответствия, говорит Холден, в том числе случаи, когда некоторые члены банды не показаны в данных Trickleaks, хотя другие исследования доказывают, что они должны были находиться в тесном контакте.
WIRED попытался связаться с 20 предполагаемыми членами Trickbot, используя адреса электронной почты, опубликованные в файлах Trickleaks. В запросе на комментарий содержатся вопросы о том, насколько точна личная информация, содержащаяся в утечке, и связаны ли эти люди с Trickbot. Многие из адресов электронной почты больше не действуют. Другие, по-видимому, работают, но WIRED не получил от них ответа.
Однако WIRED получил четыре ответа. Эти люди отрицали свою связь с Trickbot, и большинство из них заявили, что не знали о том, что их личная информация была опубликована в Интернете. Некоторые из них заявили, что являются легальными работниками технических служб. Один из них спросил, не является ли он объектом атаки. Другой сообщил, что работает водителем автобуса. WIRED попытался направить Бентли подробные вопросы по электронной почте и в WhatsApp, но ответа не получил.