Türünün ilk örneği koordineli bir eylemle, İngiltere ve ABD hükümetleri Perşembe günü yedi Rus vatandaşına TrickBot, Ryuk ve Conti siber suç operasyonuyla bağlantılı oldukları için yaptırım uyguladı.
Yaptırımlar kapsamında belirlenen kişiler Vitaly Kovalev (namı diğer Alex Konor, Bentley veya Bergen), Maksim Mihaylov (namı diğer Baget), Valentin Karyagin (namı diğer Globus), Mikhail Iskritskiy (namı diğer Tropa), Dmitry Pleshevskiy (namı diğer Iseldor), Ivan Vakhromeyev ( namı diğer Mantar) ve Valery Sedletski (namı diğer Strix).
ABD Hazine Bakanlığı, “TrickBot grubunun mevcut üyelerinin Rus İstihbarat Servisleri ile bağlantılı olduğunu” kaydetti. “TrickBot grubunun 2020’deki hazırlıkları, onları Rus devleti hedefleri ve daha önce Rus İstihbarat Servisleri tarafından yürütülen hedefleme ile uyumlu hale getirdi.”
ITG23, Gold Blackburn ve Wizard Spider adlı bir tehdit aktörüne atfedilen TrickBot, 2016 yılında Dyre bankacılık truva atının bir türevi olarak ortaya çıktı ve ek yükler dağıtabilen oldukça modüler bir kötü amaçlı yazılım çerçevesine dönüştü. Grup en son odağını Ukrayna’ya saldırmaya kaydırdı.
Kötü şöhretli bir hizmet olarak kötü amaçlı yazılım (MaaS) platformu, geçen yılın başlarında resmi olarak kapatılana kadar sayısız Ryuk ve Conti fidye yazılımı saldırısı için önemli bir araç olarak hizmet etti ve ikincisi sonunda TrickBot suç girişiminin kontrolünü daha önce devraldı. 2022’nin ortalarında kendi kapanması.
Yıllar geçtikçe Wizard Spider, özel araçlarını Diavol, BazarBackdoor, Anchor ve BumbleBee gibi bir dizi gelişmiş kötü amaçlı yazılımla genişletirken, aynı anda akademi, enerji, finansal hizmetler ve hükümetler dahil olmak üzere birden fazla ülke ve sektörü hedef aldı.
CrowdStrike istihbarat başkanı Adam Meyers yaptığı açıklamada, “Sihirbaz Örümcek’in operasyonları, Conti’nin Haziran 2022’de sona ermesinin ardından önemli ölçüde azalmış olsa da, bu yaptırımlar, düşmanın yaptırımları atlatmanın yollarını ararken büyük olasılıkla operasyonlarında kesintiye neden olacak” dedi. ifade.
“Genellikle, siber suç grupları kesintiye uğradığında, yalnızca yeni bir adla yeniden markalaşmak için bir süreliğine karanlığa bürünürler.”
Hazine Bakanlığı’na göre, yaptırım uygulanan kişilerin fidye yazılımı ve diğer kötü amaçlı yazılım projelerinin geliştirilmesinin yanı sıra kara para aklama ve kurbanların kimlik bilgilerini çalmak için web sitelerine kötü amaçlı kod enjekte etme işlerine karıştığı söyleniyor.
Kovalev ayrıca, ABD merkezli finans kurumlarında tutulan kurban banka hesaplarına bu fonları kontrolleri altındaki diğer hesaplara aktarmak amacıyla bir dizi izinsiz girişle bağlantılı olarak banka dolandırıcılığı yapmaya yönelik komplo kurmakla da suçlanıyor.
2009 ve 2010 yıllarında meydana gelen ve Kovalev’in Dyre ve TrickBot ile buluşmasından önce gerçekleşen saldırıların, yaklaşık 1 milyon $ tutarında yetkisiz transferlere yol açtığı ve bunun en az 720.000 $’ının denizaşırı ülkelere aktarıldığı söyleniyor.
Dahası, Kovalev’in 2014 yılında geçici olarak kaldırılan eşler arası bir botnet olan Gameover ZeuS üzerinde de yakından çalıştığı söyleniyor. Zeus kötü amaçlı yazılımının operatörlerinden biri olan Vyacheslav Igorevich Penchukov, Kasım 2022’de İsviçreli yetkililer tarafından tutuklandı. .
İngiliz istihbarat yetkilileri ayrıca, organize suç örgütünün Rusya merkezli ve yine Aralık 2019’da ABD tarafından yaptırım uygulanan Evil Corp olarak bilinen başka bir grupla “kapsamlı bağlantıları” olduğunu değerlendirdi.
Duyuru, fidye yazılımı çetelerini ve daha geniş suç yazılımı ekosistemini bozmaya yönelik devam eden bir savaşın en son salvosu ve geçen ay Hive altyapısının kaldırılmasının hemen ardından geliyor.
Çabalar, Rusya’nın uzun süredir suç grupları için güvenli bir sığınak sunması ve saldırılar yerel hedefleri veya müttefiklerini belirlemediği sürece herhangi bir tepkiyle karşılaşmadan saldırılar gerçekleştirmelerini sağlaması nedeniyle de karmaşık.
Yaptırımlar, “yaptırımlar, kolluk kuvvetlerine ve finansal kurumlara, mal varlığına el koymak ve belirlenen bireylerde mali aksamaya neden olmak için gerekli yetkileri ve mekanizmaları verirken, mağdurları fidye ödemekle mağdurları geri almak arasında bir seçim yapmak gibi imkansız bir konuma getirerek mağduru suç saymaktan ve yeniden mağdur etmekten kaçınıyor.” Secureworks’te tehdit araştırmalarından sorumlu başkan yardımcısı Don Smith, “iş veya yaptırımları ihlal etme” dedi.
NCC Group’un verilerine göre, fidye yazılımı saldırıları 2022’de %5’lik bir düşüşe tanık oldu ve bir önceki yıl 2.667’den 2.531’e düştü.
NCC Group’un küresel tehdit istihbaratı başkanı Matt Hull, “Saldırı hacmindeki ve değerindeki bu düşüş, muhtemelen kısmen hükümetler ve kolluk kuvvetlerinin giderek artan katı, işbirlikçi tepkisinden ve elbette Ukrayna’daki savaşın küresel etkisinden kaynaklanıyor.” , söz konusu.
Düşüşe rağmen, fidye yazılımı aktörleri aynı zamanda “veri sızıntıları ve daha karmaşık saldırıları maskelemek için cephaneliklerine DDoS eklenmesiyle kurbanlarından zorla para sızdırmak için her türlü fırsatı ve tekniği bulmaya istekli” “etkili yenilikçiler” haline geliyor. şirket eklendi.