ABD ve İngiltere, kritik altyapıya yönelik siber saldırılardaki rolleri nedeniyle TrickBot siber suç çetesinin üyeleri olduğu iddia edilenlere karşı ortak yaptırımlar yayınladı.
Bir kötü amaçlı yazılım olarak Trickbot, yazarları diğer kötü amaçlı etkinlik biçimleri için modüller eklemeye başlamadan önce, düşük düzeyde bir bankacılık Truva Atı olarak hayata başladı. Böylece, genellikle birinci veya ikinci aşama bir implant olarak kullanılan ve bir kez kurban bir makineye yerleştikten sonra fidye yazılımı veya diğer yükleri getiren çok yönlü bir siber-İsviçre Çakısı haline geldi. Grup nihayetinde Conti ve diğer gruplar için bir fidye yazılımı ortağı olarak hareket etmeye başladı.
ABD Hazine Bakanlığı’ndan yapılan bir duyuruya göre, “2020’de COVID-19 salgınının zirve yaptığı sırada, Trickbot hastaneleri ve sağlık merkezlerini hedef alarak Amerika Birleşik Devletleri’ndeki hastanelere karşı bir fidye yazılımı saldırısı dalgası başlattı.” “Bu saldırılardan birinde Trickbot Group, Minnesota’daki üç tıbbi tesise fidye yazılımı yerleştirdi, bilgisayar ağlarını ve telefonlarını bozdu ve ambulansların dikkatini dağıtmasına neden oldu. Trickbot grubunun üyeleri, tıbbi tesisleri hedef almanın kolaylığı ve hız konusunda alenen övündü. fidyeler gruba ödendi.”
Duyuru, merak uyandırıcı bir şekilde, yaptırım uygulanan yedi kişiyi Rus İstihbarat Servisleriyle ilişkilendiriyor, çünkü 2020 saldırıları onları “Rus devleti hedefleri ve daha önce Rus İstihbarat Servisleri tarafından yürütülen hedeflerle aynı hizaya getirdi. Buna ABD hükümeti ve ABD şirketlerinin hedef alınması da dahildi.” Trickbot daha önce, Rusça konuşan, ancak Rusya’nın sponsorluğunda olmayan, finansal olarak motive olmuş bir siber suç çetesi olarak kabul ediliyordu.
Yaptırım uygulanan kişiler şunlardır:
- Vitaly Kovalev, diğer adıyla Bentley veya Ben
- Baget namı diğer Maksim Mihaylov
- Globus namı diğer Valentin Karyagin
- Mihail İskritskiy, namı diğer Tropa
- Dmitry Pleshevskiy, namı diğer Iseldor
- Ivan Vakhromeyev, diğer adıyla Mantar
- Valery Sedletski, diğer adıyla Strix
Yaptırımlar, hükümetin ABD veya Birleşik Krallık’ta sahip olabilecekleri her türlü mal varlığına el koyabileceği anlamına geliyor ve ABD ve Birleşik Krallık merkezli kuruluşların ve bireylerin onlarla iş yapmasını engelliyor. Yedi failin tümü, muhtemelen kendi sınırları içinde ikamet eden siber suçlular söz konusu olduğunda başka tarafa bakmaya devam eden Rus devletinin teselli edici koruması altında, hâlâ serbest.
Tanium’un baş güvenlik danışmanı Timothy Morris, Dark Reading’e “Bu yaptırımlar akademik olsalar da hoş bir manzara” dedi. “Yapacağı ya da yapması gereken, olaya karışan yedi kişinin haksız kazançlarını aklamasını zorlaştırmak. Ayrıca, yakalanma ya da iade edilme korkusuyla tatil planlarında muhtemelen dikkatli olacaklar. Yaptırımlar görmek güzel ve yetki alanları arası işbirliğine sahip yayından kaldırmalar.”
Intel 471’in geçen yılki bir raporuna göre, çetenin kendisine gelince, 2020’de kolluk kuvvetlerinin alaşağı edilmesi, çetenin faaliyetinin yavaş yavaş “söndüğünü” gördü ve kötü amaçlı yazılımın operatörleri bunun yerine işletmelere yönelik saldırılarına devam etmek için Emotet botnet’e yöneldi.
Intel 471 baş istihbarat yetkilisi Michael DeBolt e-postayla yaptığı açıklamada, “Şubat 2022 blog gönderisinden bu yana herhangi bir Trickbot etkinliği görmedik” dedi. “Trickbot’un bir daha görülmeme olasılığı yüksek. Olası senaryolardan biri, kaynak kodunun satılması veya sızdırılması ve diğer tehdit aktörlerinin kodu yeniden kullanması veya kaynağı yeni bir projede kullanmasıdır.”