Trong một hành động phối hợp đầu tiên thuộc loại này, chính phủ Vương quốc Anh và Hoa Kỳ hôm thứ Năm đã áp dụng các biện pháp trừng phạt đối với bảy công dân nga vì có liên quan đến hoạt động tội phạm mạng TrickBot, Ryuk và Conti.
Các cá nhân bị chỉ định trừng phạt là Vitaly Kovalev (hay còn gọi là Alex Konor, Bentley, hay Bergen), Maksim Mikhailov (hay còn gọi là Baget), Valentin Karyagin (hay còn gọi là Globus), Mikhail Iskritskiy (hay còn gọi là Tropa), Dmitry Pleshevskiy (hay còn gọi là Iseldor), Ivan Vakhromeyev ( hay còn gọi là Mushroom) và Valery Sedletski (hay còn gọi là Strix).
“Các thành viên hiện tại của nhóm TrickBot được liên kết với Dịch vụ Tình báo Nga”, Bộ Tài chính Hoa Kỳ lưu ý. “Sự chuẩn bị của nhóm TrickBot vào năm 2020 đã điều chỉnh chúng phù hợp với các mục tiêu của nhà nước Nga và nhắm mục tiêu do Cơ quan Tình báo Nga thực hiện trước đó.”
TrickBot, được quy cho một tác nhân đe dọa có tên ITG23, Gold Blackburn và Wizard Spider, nổi lên vào năm 2016 dưới dạng dẫn xuất của trojan ngân hàng Dyre và phát triển thành một khung phần mềm độc hại có tính mô-đun cao có khả năng phân phối các tải trọng bổ sung. Nhóm gần đây nhất đã chuyển trọng tâm sang tấn công Ukraine.
Nền tảng phần mềm độc hại dưới dạng dịch vụ (MaaS) khét tiếng, cho đến khi chính thức đóng cửa vào đầu năm ngoái, đã đóng vai trò là phương tiện nổi bật cho vô số cuộc tấn công ransomware Ryuk và Conti, cuối cùng nền tảng này đã nắm quyền kiểm soát doanh nghiệp tội phạm TrickBot trước đó. tự đóng cửa vào giữa năm 2022.
Trong những năm qua, Wizard Spider đã mở rộng công cụ tùy chỉnh của mình với một bộ phần mềm độc hại phức tạp như Diavol, BazarBackdoor, Anchor và BumbleBee, đồng thời nhắm mục tiêu vào nhiều quốc gia và ngành, bao gồm học viện, năng lượng, dịch vụ tài chính và chính phủ.
“Mặc dù hoạt động của Wizard Spider đã giảm đáng kể sau sự sụp đổ của Conti vào tháng 6 năm 2022, nhưng các biện pháp trừng phạt này có thể sẽ gây ra sự gián đoạn cho hoạt động của kẻ thù trong khi họ tìm cách lách lệnh trừng phạt,” Adam Meyers, người đứng đầu bộ phận tình báo tại CrowdStrike, cho biết trong một báo cáo. tuyên bố.
“Thông thường, khi các nhóm tội phạm mạng bị phá vỡ, chúng sẽ chìm trong bóng tối một thời gian chỉ để đổi thương hiệu dưới một cái tên mới.”
Theo Bộ Tài chính, những người bị xử phạt được cho là có liên quan đến việc phát triển ransomware và các dự án phần mềm độc hại khác cũng như rửa tiền và đưa mã độc vào các trang web để đánh cắp thông tin đăng nhập của nạn nhân.
Kovalev cũng bị buộc tội âm mưu lừa đảo ngân hàng liên quan đến một loạt vụ xâm nhập vào tài khoản ngân hàng của nạn nhân tại các tổ chức tài chính có trụ sở tại Hoa Kỳ với mục tiêu chuyển các khoản tiền đó sang các tài khoản khác do họ kiểm soát.
Các cuộc tấn công, xảy ra vào năm 2009 và 2010 và trước cuộc hẹn hò của Kovalev với Dyre và TrickBot, được cho là đã dẫn đến việc chuyển trái phép số tiền gần 1 triệu đô la, trong đó ít nhất 720.000 đô la đã được chuyển ra nước ngoài.
Hơn nữa, Kovalev cũng được cho là đã hợp tác chặt chẽ với Gameover ZeuS, một mạng botnet ngang hàng đã tạm thời bị dỡ bỏ vào năm 2014. Vyacheslav Igorevich Penchukov, một trong những người điều hành phần mềm độc hại Zeus, đã bị chính quyền Thụy Sĩ bắt giữ vào tháng 11 năm 2022 .
Các quan chức tình báo Vương quốc Anh đánh giá thêm rằng nhóm tội phạm có tổ chức này có “mối liên hệ rộng rãi” với một tổ chức khác có trụ sở tại Nga được gọi là Evil Corp, cũng bị Mỹ trừng phạt vào tháng 12 năm 2019.
Thông báo này là phát súng mới nhất trong cuộc chiến đang diễn ra nhằm phá vỡ các băng nhóm ransomware và hệ sinh thái phần mềm tội phạm rộng lớn hơn, đồng thời áp sát ngay sau khi cơ sở hạ tầng Hive bị đánh sập vào tháng trước.
Những nỗ lực này cũng rất phức tạp vì Nga từ lâu đã cung cấp nơi ẩn náu an toàn cho các nhóm tội phạm, cho phép chúng thực hiện các cuộc tấn công mà không phải đối mặt với bất kỳ hậu quả nào miễn là các cuộc tấn công không nhằm vào các mục tiêu trong nước hoặc đồng minh của họ.
Các biện pháp trừng phạt “trao cho các cơ quan thực thi pháp luật và các tổ chức tài chính các nhiệm vụ và cơ chế cần thiết để thu giữ tài sản và gây gián đoạn tài chính cho các cá nhân được chỉ định trong khi tránh hình sự hóa và tái phạm nạn nhân bằng cách đặt họ vào tình thế không thể lựa chọn giữa việc trả tiền chuộc để lấy lại tài sản của mình”. kinh doanh hoặc vi phạm lệnh trừng phạt,” Don Smith, phó chủ tịch nghiên cứu mối đe dọa tại Secureworks, cho biết
Theo dữ liệu từ NCC Group, các cuộc tấn công bằng mã độc tống tiền đã giảm 5% vào năm 2022, giảm từ 2.667 của năm trước xuống còn 2.531, ngay cả khi các nạn nhân ngày càng từ chối thanh toán, dẫn đến doanh thu bất hợp pháp sụt giảm.
“Sự suy giảm về số lượng và giá trị các cuộc tấn công có lẽ một phần là do chính sách ngày càng cứng rắn, phản ứng hợp tác từ các chính phủ và cơ quan thực thi pháp luật, và tất nhiên là tác động toàn cầu của cuộc chiến ở Ukraine,” Matt Hull, người đứng đầu toàn cầu về mối đe dọa tình báo tại NCC Group , nói.
Bất chấp sự sụt giảm, những kẻ tấn công ransomware cũng trở thành “những nhà đổi mới hiệu quả”, những người “sẵn sàng tìm mọi cơ hội và kỹ thuật để tống tiền nạn nhân của họ bằng cách rò rỉ dữ liệu và DDoS được thêm vào kho vũ khí của họ để che giấu các cuộc tấn công tinh vi hơn”. công ty thêm vào.
