Rus vatandaşı Vladimir Dunaev, dünya çapında hastanelere, şirketlere ve bireylere yönelik saldırılarda kullanılan Trickbot kötü amaçlı yazılımını oluşturma ve dağıtmadaki rolü nedeniyle beş yıl dört ay hapis cezasına çarptırıldı.
Mahkeme belgelerine göre, 40 yaşındaki bu kişi (FFX olarak da biliniyor), kötü amaçlı yazılımın tarayıcı yerleştirme bileşeninin geliştirilmesini denetleyen kişiydi.
Eylül 2021’de Dunaev, COVID-19 seyahat kısıtlamaları ve süresi dolmuş pasaport nedeniyle bir yıldan fazla bir süre Güney Kore’de mahsur kaldıktan sonra Güney Kore’den ayrılmaya çalışırken tutuklandı. ABD’ye iade süreci 20 Ekim 2021’de tamamlandı.
Tutuklanmasının ardından, bilgisayar dolandırıcılığı ve kimlik hırsızlığı yapmak için komplo kurmanın yanı sıra banka havalesi ve banka dolandırıcılığı yapmak için komplo kurmakla ilgili suçlamaları kabul etti ve her iki suçtan da en fazla 35 yıl hapis cezasıyla karşı karşıya kaldı.
İlk iddianamede Dunaev ve sekiz diğer sanık, Trickbot kötü amaçlı yazılım operasyonundan elde edilen geliştirme, dağıtım, idare ve mali kazançlara katılmakla suçlanıyordu.
ABD Başsavcısı Rebecca C. Lutzko, “Dunaev, bilgisayarının arkasına saklanarak kötü amaçlı fidye yazılımı geliştirdi ve bunu Ohio’nun Kuzey Bölgesi’ndeki ve ülkemizin dört bir yanındaki Amerikan hastanelerine, okullarına ve işyerlerine saldırmak için kullandı” dedi.
“O ve diğer sanıklar, dünya çapında milyonlarca bilgisayara kötü niyetli bir şekilde virüs bulaştırarak ölçülemez düzeyde aksamaya ve mali hasara neden oldular ve bunun sonucunda Dunaev artık beş yıldan fazla bir süreyi demir parmaklıklar ardında geçirecek.”
TrickBot tutuklamaları ve yaptırımları
Dunaev, bir SOCKS sunucu uygulaması oluşturmasını ve kötü amaçlı yazılım dağıtımı için Firefox tarayıcısını değiştirmesini gerektiren bir işe alım sürecinin ardından Haziran 2016’da TrickBot kötü amaçlı yazılım sendikası için geliştirici olarak çalışmaya başladı.
Geliştirilmesine yardımcı olduğu TrickBot kötü amaçlı yazılımı, siber suçluların virüs bulaşmış kurbanların hassas bilgilerini (giriş kimlik bilgileri, kredi kartı bilgileri, e-postalar, şifreler, sosyal güvenlik numaraları ve adresler gibi) toplamasına ve kurbanların banka hesaplarındaki fonları çekmesine olanak sağladı.
Dunaev, Letonya uyruklu Alla Witte’nin (aka Max) Şubat 2021’de yakalanması ve ele geçirilen ağlara fidye yazılımı dağıtmak üzere tasarlanan modülün geliştirilmesine yardımcı olmakla suçlanmasının ardından ABD Adalet Bakanlığı tarafından hakkında dava açılan ikinci TrickBot kötü amaçlı yazılım geliştiricisi oldu.
Şubat ve Eylül aylarında ABD ve İngiltere, TrickBot ve Conti siber suç çeteleriyle bağlantılı 18 Rus’a, en az 180 milyon dolarlık gasp olayına karıştıkları için yaptırım uyguladı ve bazı Trickbot grup üyelerinin de Rus istihbarat servisleriyle bağlantılı olduğu konusunda uyarıda bulundu.
TrickBot’un gelişimi ve Conti bağlantıları
Başlangıçta bankacılık kimlik bilgileri hırsızlığına odaklanan TrickBot, 2015 yılında ortaya çıktıktan sonra hızlı bir şekilde siber suç örgütleri (Ryuk ve Conti fidye yazılımı operasyonları dahil) tarafından kurumsal ağlara ilk erişim elde etmek için kullanılan modüler bir araca dönüştü.
Conti siber suç grubu, çeşitli ortadan kaldırma girişimlerine rağmen kötü amaçlı yazılımın kontrolünü ele geçirdi ve bunu Anchor ve BazarBackdoor gibi diğer karmaşık ve daha gizli kötü amaçlı yazılım türlerini geliştirmek için kullandı.
Ancak Rusya’nın Ukrayna’yı işgalinin ardından Ukraynalı bir araştırmacı Conti’nin iç iletişimlerini internete sızdırarak onun TrickBot operasyonuyla olan bağlantılarını açığa çıkardı.
Anonim bir varlık (TrickLeaks) daha sonra TrickBot çetesi hakkında daha fazla bilgi açıkladı ve Conti ile olan bağlantılarına daha fazla ışık tuttu.
Bu açıklamalar sonuçta Conti’nin kapatılmasını hızlandırdı ve bu da artık Royal, Black Basta ve ZEON olarak takip edilen diğer fidye yazılımı gruplarına bölündü.