Numa acção coordenada de primeira linha, os governos do Reino Unido e dos Estados Unidos aplicaram na quinta-feira sanções contra sete cidadãos russos pela sua filiação na operação de crimes informáticos TrickBot, Ryuk, e Conti.
Os indivíduos designado sob sanções são Vitaly Kovalev (aka Alex Konor, Bentley, ou Bergen), Maksim Mikhailov (aka Baget), Valentin Karyagin (aka Globus), Mikhail Iskritskiy (aka Tropa), Dmitry Pleshevskiy (aka Iseldor), Ivan Vakhromeyev (aka Mushroom), e Valery Sedletski (aka Strix).
“Os membros actuais do grupo TrickBot estão associados aos Serviços de Inteligência Russos”, o Departamento do Tesouro dos E.U.A. observado. “Os preparativos do grupo TrickBot em 2020 alinharam-nos com os objectivos do Estado russo e com os alvos previamente conduzidos pelos Serviços de Inteligência russos”.
TrickBot, que é atribuído a um actor ameaçador chamado ITG23, Gold Blackburn, e Wizard Spider, surgiu em 2016 como um derivado do trojan bancário Dyre e evoluiu para uma estrutura malware altamente modular capaz de distribuir cargas úteis adicionais. O grupo mudou recentemente o seu foco para atacar a Ucrânia.
A infame plataforma MaaS (Malware-as-a-service), até ao seu encerramento formal no início do ano passado, serviu como veículo proeminente para inúmeros ataques de resgate de Ryuk e Conti, com este último eventualmente a assumir o controlo da empresa criminosa TrickBot antes do seu próprio encerramento em meados de 2022.
Ao longo dos anos, a Wizard Spider expandiu as suas ferramentas personalizadas com um conjunto de malware sofisticado como Diavol, BazarBackdoor, Anchor, e BumbleBee, visando simultaneamente múltiplos países e indústrias, incluindo academia, energia, serviços financeiros, e governos.
“Embora as operações da Wizard Spider tenham diminuído significativamente após o desaparecimento de Conti em Junho de 2022, estas sanções irão provavelmente causar perturbações nas operações do adversário enquanto procuram formas de contornar as sanções”, disse Adam Meyers, chefe dos serviços secretos da CrowdStrike, numa declaração.
“Muitas vezes, quando os grupos cibercriminosos são perturbados, ficam às escuras durante algum tempo apenas para rebrandar sob um novo nome”.
Pelo Departamento do Tesouro, diz-se que as pessoas sancionadas estão envolvidas no desenvolvimento de projectos de resgate e outros projectos de malware, bem como no branqueamento de dinheiro e na injecção de código malicioso em websites para roubar as credenciais das vítimas.
Kovalev também foi acusado de conspiração para cometer fraude bancária em ligação com uma série de intrusões nas contas bancárias das vítimas detidas em instituições financeiras sediadas nos EUA com o objectivo de transferir esses fundos para outras contas sob o seu controlo.
Os ataques, ocorridos em 2009 e 2010 e anteriores ao tryst de Kovalev com Dyre e TrickBot, terão levado a transferências não autorizadas no valor de quase $1 milhão de dólares, dos quais pelo menos $720.000 foram transferidos para o estrangeiro.
Além disso, também se diz que Kovalev trabalhou de perto em Gameover ZeuSUma rede de bot botas peer-to-peer que foi temporariamente desmantelada em 2014. Vyacheslav Igorevich Penchukov, um dos operadores do malware Zeus, foi detido pelas autoridades suíças em Novembro de 2022.
Funcionários dos serviços secretos do Reino Unido avaliado que o grupo do crime organizado tem “ligações extensivas” com outro grupo baseado na Rússia conhecido como Evil Corp, que também foi sancionado pelos EUA em Dezembro de 2019.
O anúncio é a última salva numa batalha em curso para perturbar os gangues de resgate e o ecossistema mais vasto de criminosas, e aproxima-se, no mês passado, do fim das infra-estruturas da colmeia.
Os esforços são também complicados, uma vez que a Rússia tem há muito oferecida a refúgio seguro para grupos criminosos, permitindo-lhes realizar ataques sem enfrentar quaisquer repercussões desde que os ataques não identifiquem alvos domésticos ou seus aliados.
As sanções “conferem às instituições policiais e financeiras os mandatos e mecanismos necessários para confiscar bens e causar perturbações financeiras aos indivíduos designados, evitando ao mesmo tempo criminalizar e re-vitalizar a vítima, colocando-a na posição impossível de escolher entre pagar um resgate para recuperar o seu negócio ou violar as sanções”, disse Don Smith, vice-presidente de investigação de ameaças da Secureworks
De acordo com dados do NCC Group, os ataques de resgate testemunharam um declínio de 5% em 2022, caindo de 2.667 no ano anterior para 2.531, mesmo quando as vítimas se recusam cada vez mais a pagar, levando a uma queda nas receitas ilícitas.
“Este declínio no volume e valor dos ataques deve-se provavelmente em parte a uma resposta cada vez mais dura e colaborativa dos governos e da aplicação da lei, e claro, ao impacto global da guerra na Ucrânia”, Matt Hull, chefe global da inteligência de ameaças no NCC Group, disse.
Apesar do mergulho, os agentes de resgate estão também a revelar-se “inovadores eficazes” que estão “dispostos a encontrar qualquer oportunidade e técnica para extorquir dinheiro às suas vítimas com fugas de dados e DDoS a serem adicionados ao seu arsenal para mascarar ataques mais sofisticados”, acrescentou a empresa.