spot_img
Головна сторінкаНовиниНімецька поліція стверджує, що встановила особу загадкового короля ransomware Trickbot

[:uk]Німецька поліція стверджує, що встановила особу загадкового короля ransomware Trickbot[:]

Декілька дослідників у сфері кібербезпеки, які стежили за групою Trickbot, повідомили, що не знали про нещодавню заяву. Анонімний акаунт у соціальній мережі X нещодавно стверджував, що Ковалев використовував псевдонім Stern і опублікував нібито деталі про нього. Якщо вірити акаунту в X і базі даних зламаних і вит leaked записів, створеної District 4 Labs, SOCKET зв’язався з кількома акаунтами, які нібито належать Ковалеву, але не отримав відповіді.

Тим часом ім’я та обличчя Ковалев можуть бути вже знайомими тим, хто слідкує за останніми відкриттями щодо Trickbot. Справа в тому, що Ковалев був спільно засуджений владою Сполучених Штатів і Великої Британії на початку 2023 року за нібито участь у діяльності Trickbot як старший член. Також його обвинувачували в США у справі, пов’язаній з хакерством, що призвело до банківських шахрайств, ймовірно, у 2010 році. США занесли його до свого списку найбільш розшукуваних злочинців. Проте в цій справі США та Велика Британія пов’язали Ковалева з онлайн-псевдонімами “ben” та “Bentley.” У санкціях 2023 року не було зазначено зв’язок з псевдонімом Stern. Фактично, обвинувачення Ковалевa 2023 року було значущим переважно через те, що його використання псевдоніма “Bentley” вважали “історичним” та відокремленим від іншого ключового члена Trickbot, який також використовував це ім’я.

Група ransomware Trickbot з’явилася приблизно в 2016 році, після того як її члени перейшли з malware Dyre, який був зупинений російськими владами. Протягом свого існування група Trickbot, яка використовувала програмне забезпечення свого імені та інші варіанти ransomware, такі як Ryuk, IcedID та Diavol, дедалі більше переобладнала свої операції і персонал з бандою Conti. На початку 2022 року Conti опублікувала заяву, що підтримує повномасштабне вторгнення Росії в Україну, а дослідник у сфері кібербезпеки, який infiltrував групи, виклав більше 60 000 повідомлень від членів Trickbot і Conti, розкриваючи величезну кількість інформації про їх щоденну діяльність і структуру.

Стерн виконував роль “Генерального директора” груп Trickbot і Conti, управляючи ними як легітимною компанією, згідно з витоками повідомлень проаналізованими експертами.

“Trickbot задав шаблон для сучасної моделі кіберзлочинності як послуги, яку прийняли безліч груп, що з’явилися після нього,” — говорить Леслі з Recorded Future. “Хоча були організовані групи, що передували Trickbot, Стерн спостерігав за періодом, коли російська кіберзлочинність набувала високого рівня професіоналізації. Ця тенденція триває і сьогодні, відтворюється по всьому світу і помітна у більшості активних груп на темному вебі.”

Видатність Стерна в російській кіберзлочинності детально задокументована. Компанія Chainalysis, що займається відстеженням криптовалюти, не називає публічно кіберзлочинців і відмовилася коментувати ідентифікацію BKA, але підкреслила, що сам образ Стерна є одним з найприбутковіших виконавців ransomware, яких вони відстежують.

“Використане розслідування виявило, що Стерн приносив значні доходи від незаконної діяльності, зокрема у зв’язку з ransomware,” — розповідає прес-секретар BKA.

Стерн “оточений дуже технічними людьми, багато з яких, за його словами, мають десятирічний досвід, і він готовий делегувати суттєві завдання цим досвідченим людям, яким довіряє,” зазначив Кіт Джарвіс, старший дослідник безпеки в Counter Threat Unit компанії Sophos. “Я вважаю, що він, напевно, завжди жив у цій організаційній ролі.”

Останні роки демонструють, що у Стерна, принаймні, є деякі слабкі зв’язки з російською розвідкою, включаючи її основну безпекову агенцію, Федеральну службу безпеки (ФСБ). У липні 2020 року псевдонім Стерн згадував про створення офісу для “урядових тем”, в той час як дослідники помітили, що інші члени групи Trickbot казали, що Стерн, ймовірно, є “зв’язком між нами і високими посадовими особами в ФСБ.”

Постійна присутність Стерна відіграла значну роль у ефективності Trickbot і Conti, а також у здатності цих структур підтримувати хорошу оперативну безпеку та залишатися непомітними.

Як зазначив Джарвіс зі Sophos, “У мене немає думок щодо атрибуції, оскільки я ніколи не чув переконливих історій про ідентичність Стерна від когось до цього оголошення.”