ABD ve Birleşik Krallık, TrickBot ve Conti fidye yazılımı siber suç operasyonlarıyla bağlantılı on bir Rus vatandaşına yaptırım uyguladı.
TrickBot kötü amaçlı yazılım operasyonu 2015 yılında başlatıldı ve bankacılık kimlik bilgilerinin çalınmasına odaklandı. Ancak zamanla Ryuk ve daha sonra Conti fidye yazılımı operasyonları gibi diğer siber suç operasyonları için kurumsal ağlara ilk erişimi sağlayan modüler bir kötü amaçlı yazılıma dönüştü.
ABD hükümetinin sayısız saldırı girişiminin ardından Conti fidye yazılımı çetesi, TrickBot operasyonunun ve gelişiminin kontrolünü ele geçirdi ve bunu BazarBackdoor ve Anchor gibi daha gelişmiş ve gizli kötü amaçlı yazılımları geliştirmek için kullandı.
Ancak Rusya Ukrayna’yı işgal ettikten sonra Ukraynalı bir araştırmacı, Conti fidye yazılımı çetesinin iç iletişimlerini Conti Sızıntıları olarak bilinen yöntemle sızdırdı.
Kısa bir süre sonra, TrickLeaks adı altında bilinmeyen başka bir kişi, TrickBot operasyonu hakkında bilgi sızdırmaya başladı ve bu da iki grup arasındaki bağları daha da ortaya koydu.
Sonuçta bu sızıntılar, Conti fidye yazılımı operasyonunun kapatılmasına yol açtı ve bu operasyon artık Royal, Black Basta ve ZEON gibi çok sayıda fidye yazılımı operasyonuna bölündü.
Conti ve TrickBot üyelerine yaptırım uygulandı
Bugün, TrickBot ve Conti operasyonunun on bir üyesine, dünya çapında 180 milyon dolarlık hırsızlığa yol açan siber suç faaliyetleri nedeniyle ABD ve Birleşik Krallık hükümetleri tarafından yaptırım uygulandı.
“NCA, grubun dünya çapındaki kurbanlardan en az 180 milyon dolar ve Birleşik Krallık’taki 149 kurbandan en az 27 milyon sterlin şantaj yapmaktan sorumlu olduğunu değerlendiriyor. Saldırganlar Birleşik Krallık’taki hastaneleri, okulları, yerel yetkilileri ve işletmeleri hedef almaya çalıştı.” Birleşik Krallık Ulusal Suç Teşkilatı.
ABD Hazine Bakanlığı da bugün yaptırımları açıklayarak, bazı Trickbot grup üyelerinin Rus istihbarat servisleriyle bağlantılı olduğu ve faaliyetlerinin ülkenin çıkarlarıyla uyumlu olduğu konusunda uyarıda bulundu.
ABD Hazine Bakanlığı, “Bugünün hedefleri arasında, Rus istihbarat servisleriyle bağları olan ve ABD Hükümeti ile hastaneler de dahil olmak üzere ABD şirketlerini hedef alan Trickbot grubunun yönetimi ve satın almasında yer alan kilit aktörler yer alıyor” dedi.
“COVID-19 salgını sırasında Trickbot grubu, Amerika Birleşik Devletleri’ndeki birçok kritik altyapıyı ve sağlık hizmeti sağlayıcısını hedef aldı.”
Bu duyurular, Trickbot kötü amaçlı yazılımı ve Conti fidye yazılımı operasyonlarıyla bağlantılı olarak dokuz kişiye karşı açılan ve muhtemelen bugün daha sonra açıklanacak olan iddianamelerin açıklanmasıyla aynı zamana denk geliyor.
Aşağıda İngiltere ve ABD tarafından yaptırım uygulanan ve hepsinin Rus vatandaşı olduğuna inanılan 11 kişi yer alıyor.
Andrey Zhuykov grupta merkezi bir aktördü ve üst düzey yönetici olarak görev yaptı. Andrey Zhuykov aynı zamanda çevrimiçi Dif ve Defender takma adlarıyla da tanınıyor.
Maxim Galochkin Testlerin geliştirilmesi, denetlenmesi ve uygulanmasından sorumlu bir grup test uzmanına liderlik etti. Maksim Galochkin ayrıca çevrimiçi olarak Bentley, Crypt ve Volhvb takma adlarıyla da biliniyor.
Maksim Rudenskiy Trickbot grubunun önemli bir üyesiydi ve kodlayıcıların ekip lideriydi.
Mihail Tsarev grupta insan kaynakları ve finanstan sorumlu bir yöneticiydi. Yönetim ve muhasebeden sorumluydu. Mikhail Tsarev aynı zamanda Mango, Alexander Grachev, Super Misha, Ivanov Mixail, Misha Krutysha ve Nikita Andreevich Tsarev lakaplarıyla da tanınır.
Dmitri Putilin Trickbot altyapısının satın alınmasıyla ilişkilendirildi. Dmitry Putilin, çevrimiçi takma adlar Grad ve Staff tarafından da biliniyor.
Maksim Khaliullin grubun İK yöneticisiydi. Sanal Özel Sunucuların tedariki de dahil olmak üzere Trickbot altyapısının satın alınmasıyla ilişkilendirildi. Maksim Khaliullin aynı zamanda çevrimiçi takma adı Kagas tarafından da biliniyor.
Sergey Loguntsov Trickbot grubunun geliştiricisiydi.
Vadim Valiakhmetov Trickbot grubu için kodlayıcı olarak çalıştı ve çevrimiçi takma adlar Weldon, Mentos ve Vasm tarafından tanınıyor.
Artem Kurov Trickbot grubunda geliştirme görevlerinde kodlayıcı olarak çalıştı. Artem Kurov aynı zamanda çevrimiçi takma ad olan Naned tarafından da biliniyor.
Mihail Çernov Trickbot’un dahili yardımcı programlar grubunun bir parçasıydı ve aynı zamanda çevrimiçi takma adı Bullet tarafından da biliniyordu.
Alexander Mozhaev genel idari görevlerden sorumlu yönetici ekibinin bir parçasıydı ve aynı zamanda çevrimiçi olarak Green ve Rocco takma adlarıyla da tanınıyordu.
Bu yaptırımlar, Şubat ayında yaptırım uygulanan yedi TrickBot/Conti üyesine ek olarak uygulanıyor.
Bu yaptırımlar kapsamında tüm Birleşik Krallık ve ABD kuruluşlarının bu kişilerle fidye taleplerinin ödenmesi de dahil olmak üzere mali işlemler yapması yasaktır.
Conti fidye yazılımı üyelerinin birçoğunun artık başka fidye yazılımı operasyonlarına dahil olması, OFAC düzenlemelerini ihlal etmekten kaynaklanan risklerle yüzleşmeden artık fidye ödemesi yapamayan kuruluşlar ve fidye yazılımı müzakere firmaları için kaygan bir zemin oluşturacaktır.
Geçmişte yaptırımlar, müzakere firmalarının yaptırım uygulanan çetelere ödeme yapmayı reddetmesinin ardından fidye yazılımı operasyonlarının çökmesine veya en azından yeniden markalaşmasına yol açmıştı.
ABD daha önce aralarında CryptoLocker, SamSam, WannaCry, Evil Corp, REvil ve BlackShadow/Pay2Key’in de bulunduğu çok sayıda kişiye fidye yazılımı operasyonlarına katılımlarından dolayı yaptırım uygulamıştı.