Rus TrickBot Çetesinin ABD ve İngiltere Üyelerine Yaptırım

Bir ilk olarak, ABD Hazine Bakanlığı ve Birleşik Krallık Hazine Bakanlığı, yedi ülke ile finansal işlemleri ortaklaşa yasakladı.

Rus vatandaşları

TrickBot kötü amaçlı yazılımını geliştirmek ve yönetmekle suçlanıyor.

Yaptırım uygulanan kişilerden biri olan Vitaly Kovalev aleyhinde dokuz banka dolandırıcılığı veya banka dolandırıcılığı için komplo kurmakla suçlanan bir iddianame açıldı. Suçlamalar, 2009 ve 2010 yıllarında ABD bankalarında yapılan ve çoğu yurtdışında sona eren yaklaşık 1 milyon dolarlık çalıntı fonu transfer etmek için yapılan bir dizi hileli işlemden kaynaklanıyor. ABD Hazinesi, Kovalev’in TrickBot’ta “kıdemli bir figür” olduğunu, ancak dolandırıcılığın TrickBot’a katılmasından önce meydana geldiğini söylüyor.

ABD Hazinesi, TrickBot grubunun üyelerinin Rus istihbarat servisleriyle ilişkili olduğunu ve faaliyetlerinin “onları Rus devleti hedeflerine ve daha önce Rus İstihbarat Servisleri tarafından yürütülen hedeflemeye uygun hale getirdiğini” söyledi. ABD Dışişleri Bakanı Anthony Blinken yaptığı açıklamada Kremlin’i TrickBot gibi gruplara yataklık etmekle suçlayarak Rusya’yı “siber suçlular için güvenli bir sığınak” olarak nitelendirdi.

Yaptırımlar, yedi Rus vatandaşının ABD veya Birleşik Krallık finans kurumlarında sahip olabilecekleri tüm varlıklarını donduruyor ve bunlarla bağlantılı olabilecek işlemlerden kaçınması için küresel finans sistemini uyarıyor. Önemli bir işlemi kolaylaştıran veya yedi kişiden herhangi biri için önemli finansal hizmetler sağlayan herhangi bir yabancı finans kuruluşunun kendisi yaptırımlara tabi olabilir.

İngiltere Dışişleri, İngiliz Milletler Topluluğu ve Kalkınma İşlerinden Sorumlu Dışişleri Bakanı James Cleverly, “Bu siber suçlulara yaptırım uygulayarak, onlara ve fidye yazılımına karışan diğerlerine hesap vereceklerine dair açık bir sinyal gönderiyoruz” dedi.

ABD’li yetkililer, TrickBot’un yeni koronavirüs pandemisinin zirve yaptığı dönemde fidye yazılımı saldırıları için hedef olarak hastaneleri ve sağlık merkezlerini seçtiğini söylüyor. Kurbanları arasında acil hastalarını geri çevirmek zorunda kalan üç Minnesota tıbbi tesisi de vardı.

Güvenlik araştırmacıları TrickBot’u ilk olarak 2016’da tespit ettiler ve Dyre veya Dyreza adlı eski bir bankacılık Truva atının bir varyantından Conti ve Ryuk fidye yazılımı için bir vektöre dönüşmesini izlediler. Washington Post, 2020’de ABD Siber Komutanlığının, eyalet veya yerel seçmen kayıt ofislerine yönelik potansiyel fidye yazılımı saldırılarını engellemek için Amerikan başkanlık seçimleri öncesinde TrickBot botnet’i bozmak için bir operasyon başlattığını bildirdi. Siber güvenlik uzmanları, operasyonun yalnızca geçici bir etkiye sahip olmasını bekliyorlardı (bkz: Microsoft, Diğerleri Trickbot Botnet’i Dağıtın).

Pek çok kötü amaçlı yazılım türünde olduğu gibi, TrickBot’un operatörleri de ek yetenekler eklemek ve değişen suç taleplerini karşılamak için kodlarını geliştirdiler. Güncellemeler, bir damlalık görevi görmesini içeriyordu – bulaştığı bir uç noktaya ek yazılım indirmek için bir araç. Ayrıca, meşru bankaları ve kripto para borsalarını taklit etmesine izin veren web enjeksiyon yetenekleri kazandı.

Tehdit istihbarat firması Advanced Intelligence’ın bildirdiğine göre, 2021’de TrickBot, Conti fidye yazılımı grubuyla bir ilk erişim ilişkisi başlatmış gibi göründü ve onlara Conti’nin kripto-kilitleme kötü amaçlı yazılımının bulaşması için TrickBot’un bulaştığı tüm uç noktaların özel kullanımını sağladı. “2021’in sonunda Conti, fidye yazılımı cosa nostra’ya katılan çok sayıda seçkin geliştirici ve yöneticiyle birlikte esasen TrickBot’u satın aldı.” Conti’nin operatörleri daha sonra, Mayıs 2022’de Conti marka adını kullanımdan kaldırmadan önce, bazıları TrickBot’tan türetilmiş kodu kullanmaya devam eden birden fazla grubu ayırdı.

Bu, kısa süre içinde güncellenecek olan son dakika haberidir.

ISMG’den Mathew Schwartz’ın raporuyla