İngiltere ve ABD hükümetleri Perşembe günü, Rusya merkezli kötü şöhretli TrickBot siber suç çetesinin parçası olduğu iddia edilen 11 kişiye yaptırım uyguladı.
ABD Hazine Bakanlığı, “Rusya uzun zamandır TrickBot grubu da dahil olmak üzere siber suçlular için güvenli bir sığınak olmuştur” diyerek, “Rusya’nın Rus istihbarat servisleriyle bağları olduğunu ve ABD Hükümeti’ni ve hastaneler de dahil olmak üzere ABD şirketlerini hedef aldığını” ekledi.
Yaptırımların hedefleri, operasyonlarında maddi yardım sağladığına inanılan yöneticiler, idareciler, geliştiriciler ve kodlayıcılardır. İsimleri ve rolleri şöyle:
- Andrey Zhuykov (aka Adam, Defender ve Dif), üst düzey yönetici
- Maksim Sergeevich Galochkin (diğer adıyla Bentley, Crypt, Manuel, Max17 ve Volhvb), yazılım geliştirme ve test etme
- Maksim Rudenskiy (diğer adıyla Binman, Buza ve Silver), kodlayıcıların ekip lideri
- Mikhail Tsarev (aka Alexander Grachev, Fr*ances, Ivanov Mixail, Mango, Misha Krutysha, Nikita Andreevich Tsarev ve Super Misha), insan kaynakları ve finans
- Dmitry Putilin (diğer adıyla Grad ve Staff), TrickBot altyapısının satın alınması
- Maksim Khaliullin (aka Kagas), İK müdürü
- Sergey Loguntsov (diğer adıyla Begemot, Begemot_Sun ve Zulas), geliştirici
- Vadym Valiakhmetov (diğer adıyla Mentos, Vasm ve Weldon), geliştirici
- Artem Kurov (namı diğer Naned), geliştirici
- Mikhail Chernov (aka Bullet ve m2686), dahili kamu hizmetleri grubunun bir parçası
- Alexander Mozhaev (diğer adıyla Green ve Rocco), genel idari görevlerden sorumlu ekibin bir parçası
Tehdit istihbaratı firması Nisos tarafından geçen ayın sonlarında toplanan kanıtlar, Galochkin’in “adını Maksim Sergeevich Sipkin’den değiştirdiğini ve 2022 itibarıyla önemli miktarda mali borcunun bulunduğunu” ortaya çıkardı.
Birleşik Krallık hükümeti, “Tamamı Rus vatandaşı olan kişiler, geleneksel kolluk kuvvetlerinin ulaşamayacağı yerlerde faaliyet gösterdiler ve çevrimiçi takma adların ve takma isimlerin arkasına saklandılar.” dedi. “Bu kişilerin anonimliklerinin kaldırılması, bu kişilerin ve onların Birleşik Krallık güvenliğini tehdit eden suç işlerinin bütünlüğünü zedeler.”
Bu gelişme, iki hükümetin TrickBot, Ryuk ve Conti siber suç örgütleriyle bağlantıları nedeniyle birden fazla Rus vatandaşına karşı yedi ay içinde ikinci kez benzer yaptırımlar uygulamasına işaret ediyor.
Bu aynı zamanda, Trickbot kötü amaçlı yazılım ve Conti fidye yazılımı planlarıyla bağlantılı olarak dokuz sanığa yönelik iddianamelerin açıklanmasıyla da aynı zamana denk geliyor; yeni yaptırım uygulanan kişilerden yedisi bu sayılıyor.
Şubat 2023’te yaptırım uygulananlardan biri olan Dmitriy Pleshevskiy, o zamandan beri TrickBot çetesiyle herhangi bir ilgisini reddetti ve çevrimiçi olarak “Iseldor” takma adını serbest olarak belirtilmemiş programlama görevlerini yapmak için kullandığını belirtti.
Aylar süren bir soruşturmanın ardından Galochkin’in TrickBot’un kilit üyelerinden biri olduğunu ortaya çıkaran WIRED’e konuşan Pleshevskiy, “Bu görevler bana yasadışı görünmedi, ancak belki de benim bu saldırılara katılımım buradan kaynaklanıyor” dedi.
Bugüne kadar ABD’de iki TrickBot geliştiricisi daha tutuklandı ve hakkında dava açıldı. Letonya vatandaşı Alla Witte, bilgisayar dolandırıcılığı yapmak için komplo kurma suçunu kabul etti ve Haziran 2023’te 32 ay hapis cezasına çarptırıldı. Vladimir Dunaev adında bir Rus şu anda gözaltında ve duruşmayı bekliyor.
Dyre bankacılık truva atının bir evrimi olan TrickBot, 2016 yılında benzer şekilde yola çıktı ve ardından tehdit aktörlerinin fidye yazılımı gibi sonraki aşamadaki yükleri dağıtmasına olanak tanıyan esnek, modüler bir kötü amaçlı yazılım paketine dönüştü.
Çok Savunmasız: Kimlik Saldırısı Yüzeyinin Durumunun Ortaya Çıkarılması
MFA’yı başardınız mı? PAM’mi? Hizmet hesabı koruması? Kuruluşunuzun kimlik tehditlerine karşı gerçekte ne kadar donanımlı olduğunu öğrenin
Becerilerinizi Güçlendirin
2020 yılındaki ortadan kaldırma çabasından sağ çıkmayı başaran e-suç grubu, 2022’nin başlarında Conti fidye yazılımı kartelinin eline geçti ve yukarıda belirtilen rollerin de gösterdiği gibi, profesyonel yönetim yapısına sahip meşru bir kuruluşa benzer şekilde çalıştı.
Conti, iki ay önce grubun faaliyetleri hakkında benzeri görülmemiş bilgiler sunan bir sızıntı dalgasının ardından Mayıs 2023’te resmen dağıldı ve bu da grubun Ukrayna’ya karşı savaşında Rusya’ya verdiği destekle tetiklendi.
İsimsiz çöplükler, lakaplı ContiLeaks Ve TrickLeaks, Mart 2022’nin başında birkaç gün arayla ortaya çıktı ve bunun sonucunda dahili sohbetleri ve altyapıları hakkında çevrimiçi olarak çok sayıda veri yayınlandı. Adı verilen önceki bir hesap TrickBotLeaks X’te oluşturulan (eski adıyla Twitter) hızlı bir şekilde askıya alındı.
Cyjax, Temmuz 2022’de TrickBot verilerinin önbelleğine atıfta bulunarak “Toplamda 2.500’den fazla IP adresi, yaklaşık 500 potansiyel kripto cüzdan adresi ve binlerce alan ve e-posta adresi içeren yaklaşık 250.000 mesaj var” dedi.
Birleşik Krallık Ulusal Suç Ajansı’na (NCA) göre, grubun dünya çapındaki kurbanlardan en az 180 milyon dolar, Birleşik Krallık’taki 149 kurbandan ise en az 27 milyon sterlin gasp ettiği tahmin ediliyor.
Yaptırımlar ve iddianameler yoluyla Rusya’nın siber suç faaliyetlerini sekteye uğratmaya yönelik devam eden çabalara rağmen, tehdit aktörleri, yasağı aşmak için farklı isimler altında faaliyet gösterse ve hedeflere sızmak için ortak taktiklerden yararlansa da, gelişmeye devam ediyor.