Amerika Birleşik Devletleri ve Birleşik Krallık, kötü amaçlı yazılımları Conti ve Ryuk fidye yazılımı operasyonunun saldırılarını desteklemek için kullanılan TrickBot siber suç grubuna dahil oldukları için yedi Rus kişiye yaptırım uyguladı.
TrickBot, adını taşıyan TrickBot kötü amaçlı yazılımı, BazarBackdoor, Anchor ve BumbleBee gibi çok sayıda kötü amaçlı yazılım ailesini geliştirmekten sorumlu bir siber suç çetesidir.
TrickBot kötü amaçlı yazılımı, çevrimiçi banka hesaplarını çalmak için kimlik avı e-postaları aracılığıyla dağıtılan bir bankacılık truva atı olarak başladı. Daha sonra, Ryuk/Conti fidye yazılımı operasyonu için kurumsal ağlara ilk erişimi sağlamak üzere tasarlanmış kötü amaçlı yazılıma dönüştü.
Kötü amaçlı yazılım, güvenlik yazılımı tarafından geniş çapta algılandıkça, geliştiriciler, hedeflere daha gizli bir şekilde bulaşma sağlamak için BazarBackdoor, Anchor ve BumbleBee gibi yeni kötü amaçlı yazılım ailelerini piyasaya sürdü.
TrickBot grubu daha sonra, kendi fidye yazılımı saldırılarını desteklemek için grubun kötü amaçlı yazılımını geliştirme görevini üstlenen Conti fidye yazılımı çetesi tarafından devralındı.
Kötü amaçlı yazılım çetesi, İrlanda Sağlık Hizmetleri Yöneticisine yapılan saldırı, ABD hastanelerine ve Kosta Rika Hükümetine yönelik yaygın saldırılar dahil olmak üzere çok sayıda yüksek profilli fidye yazılımı saldırısını kolaylaştırdı veya gerçekleştirdi.
Birleşik Krallık, tehdit aktörlerinin Birleşik Krallık’taki bireylere ve işletmelere yönelik 149 saldırıdan sorumlu olduğunu ve en az 27 milyon sterlin fidye ödemesi aldığını belirtiyor.
Birleşik Krallık’ın yaptırımlarla ilgili duyurusunda, “Conti ve Ryuk olarak bilinen fidye yazılımı türleri, Birleşik Krallık’taki 149 kişiyi ve işletmeyi etkiledi. Fidye yazılımı, tahmini olarak en az 27 milyon sterlinin kurtarılmasından sorumluydu” diyor.
“Yaklaşık 10 milyon sterlin ödeyen Conti türünün Birleşik Krallık’taki 104 kurbanı ve yaklaşık 17 milyon sterlin ödeyen Ryuk türünün 45 kurbanı vardı.”
Yedi Rus kişiye yaptırım uygulandı
Bugün, Amerika Birleşik Devletleri ve Birleşik Krallık, TrickBot kötü amaçlı yazılım operasyonuna karıştıkları için yedi kişiye yaptırım uyguladı.
ABD Hazine Bakanlığı tarafından yapılan duyuruda, “Bugün ABD, İngiltere ile koordinasyon halinde, Rusya merkezli siber suç çetesi Trickbot’un parçası olan yedi kişiyi belirliyor.”
“Bu eylem, Birleşik Krallık için türünün ilk yaptırımlarını temsil ediyor ve ABD Hazine Bakanlığı Yabancı Varlıklar Kontrol Ofisi ile Birleşik Krallık Dışişleri, İngiliz Milletler Topluluğu ve Kalkınma Dairesi; Ulusal Suç Teşkilatı ve onun arasındaki işbirlikçi bir ortaklığın sonucudur. Majestelerinin Hazinesi, Rus siber suçlarını ve fidye yazılımlarını bozmak için.”
Yaptırımlar, çok sayıda iç konuşmanın ardından geldi ve ContiLeaks ve TrickLeaks adı verilen olayda Conti ve TrickBot üyelerinden kişisel bilgiler sızdırıldı.
ContiLeaks daha çok dahili konuşmaları ve kaynak kodunu sızdırmaya odaklanırken, TrickLeaks bir adım daha ileri gitti ve TrickBot üyelerinin kimlikleri, çevrimiçi hesapları ve kişisel bilgileri Twitter’da herkese açık bir şekilde sızdırıldı.
Bu veri ihlalleri, nihayetinde Conti çetesinin operasyonlarını kapatmasına ve üyelerinin yeni fidye yazılımı operasyonları başlatmasına veya mevcut operasyonlara katılmasına yol açtı.
Bu yaptırımların bir sonucu olarak, aşağıdaki kişilere ait Amerika Birleşik Devletleri ve Birleşik Krallık’taki tüm mülk ve fonlar bloke edilmiştir.
Vitaly Kovalev Trickbot Group içinde kıdemli bir figürdü. Vitaly Kovalev, çevrimiçi takma adlar “Bentley” ve “Ben” olarak da bilinir. Bugün, ABD New Jersey Bölge Mahkemesinde, Kovalev’i ABD merkezli çeşitli finans kurumlarında tutulan kurban banka hesaplarına bir dizi izinsiz girişle bağlantılı olarak banka dolandırıcılığı ve sekiz banka dolandırıcılığı komplosu kurmakla suçlayan bir iddianame açıldı. 2009 ve 2010’da, Dyre veya Trickbot Group’a katılımından önce meydana gelen olaylar.
Maksim Mihaylov Trickbot Grubu için geliştirme faaliyetlerinde yer almıştır. Maksim Mihaylov, çevrimiçi takma ad “Baget” olarak da bilinir.
Valentin Karyagin fidye yazılımı ve diğer kötü amaçlı yazılım projelerinin geliştirilmesinde yer almıştır. Valentin Karyagin, çevrimiçi takma ad “Globus” olarak da bilinir.
Mihail İskritskiy Trickbot Group için kara para aklama ve dolandırıcılık projelerinde çalıştı. Mikhail Iskritskiy, çevrimiçi takma ad “Tropa” olarak da bilinir.
Dmitry Pleshevskiy kurbanların kimlik bilgilerini çalmak için web sitelerine kötü amaçlı kod enjekte etmeye çalıştı. Dmitry Pleshevskiy, çevrimiçi takma ad “Iseldor” olarak da bilinir.
Ivan Vakhromeyev Trickbot Group’ta yönetici olarak çalıştı. Ivan Vakhromeyev, çevrimiçi takma ad “Mantar” olarak da bilinir.
Valery Sedletsky Sunucu yönetimi de dahil olmak üzere Trickbot Group’ta yönetici olarak çalıştı. Valery Sedletski, çevrimiçi takma ad “Strix” olarak da bilinir.
Ayrıca, bireylerin ve şirketlerin fidye ödemek de dahil olmak üzere bireylerle işlem yapmaları engellenir.
Bu kişiler, Conti operasyonu kapatıldıktan sonra büyük olasılıkla diğer fidye yazılımı operasyonlarına yöneldiğinden, bu eylem, daha önce Conti ile bağlantılı üyeleri olduğu bilinen diğer fidye yazılımı çetelerine fidye ödenmesini de önemli ölçüde engelleyebilir.
Buna BlackCat, Royal Group, AvosLocker, Karakurt, LockBit, Silent Ransom ve DagonLocker dahildir.
Hazine Bakanlığı, “Ayrıca, bugün belirlenen kişilerle belirli işlemlerde bulunan kişilerin kendileri de atamaya maruz kalabilir” uyarısında bulundu.
“Ayrıca, bugün belirlenen kişi veya kuruluşlardan herhangi biri için önemli bir işlemi bilerek kolaylaştıran veya önemli mali hizmetler sağlayan herhangi bir yabancı finans kurumu, ABD muhabiri veya hesap yoluyla ödeme yaptırımlarına tabi olabilir.”