Gli Stati Uniti e il Regno Unito hanno imposto sanzioni a undici cittadini russi associati alle operazioni cybercriminali TrickBot e Conti.
Origini e sviluppo di TrickBot
L’operazione malware TrickBot è stata avviata nel 2015 con l’obiettivo di rubare credenziali bancarie. Nel tempo, si è evoluta in un malware modulare che forniva un accesso iniziale alle reti aziendali per altre operazioni cybercriminali, come Ryuk e, successivamente, le operazioni ransomware Conti. Dopo numerosi tentativi di chiusura da parte del governo statunitense, la gang ransomware Conti ha preso il controllo dell’operazione TrickBot, utilizzandola per migliorare malware più avanzati e stealth, come BazarBackdoor e Anchor.
Leaks e conseguenze
Dopo l’invasione della Russia in Ucraina, un ricercatore ucraino ha divulgato le comunicazioni interne della gang ransomware Conti, noto come Conti Leaks. Poco dopo, un altro individuo, sotto il nome di TrickLeaks, ha iniziato a divulgare informazioni sull’operazione TrickBot, illustrando ulteriormente i legami tra i due gruppi. Queste rivelazioni hanno portato alla chiusura dell’operazione ransomware Conti, che ora si è frammentata in diverse altre operazioni ransomware, come Royal, Black Basta e ZEON.
Sanzioni ai membri di Conti e TrickBot
Oggi, undici membri delle operazioni TrickBot e Conti sono stati sanzionati dai governi degli Stati Uniti e del Regno Unito per attività cybercriminali che hanno portato al furto di 180 milioni di dollari in tutto il mondo. L’NCA stima che il gruppo abbia estorto almeno 180 milioni di dollari da vittime in tutto il mondo e almeno 27 milioni di sterline da 149 vittime nel Regno Unito. Gli attacchi erano diretti contro ospedali, scuole, autorità locali e aziende del Regno Unito. Il Dipartimento del Tesoro degli Stati Uniti ha anche annunciato le sanzioni oggi, avvertendo che alcuni membri del gruppo Trickbot sono associati ai servizi di intelligence russi e le loro attività sono in linea con gli interessi del paese.
Elenco dei sanzionati
Ecco l’elenco degli individui sanzionati da Regno Unito e USA, tutti ritenuti cittadini russi:
- Andrey Zhuykov: attore centrale del gruppo e amministratore senior.
- Maksim Galochkin: ha guidato un gruppo di tester, con responsabilità per lo sviluppo e la supervisione dei test.
- Maksim Rudenskiy: membro chiave del gruppo Trickbot e capo del team di programmatori.
- Mikhail Tsarev: manager del gruppo, responsabile delle risorse umane e della finanza.
- Dmitry Putilin: associato all’acquisto dell’infrastruttura Trickbot.
- Maksim Khaliullin: manager delle risorse umane per il gruppo.
- Sergey Loguntsov: sviluppatore per il gruppo Trickbot.
- Vadym Valiakhmetov: programmatore per il gruppo Trickbot.
- Artem Kurov: programmatore con compiti di sviluppo nel gruppo Trickbot.
- Mikhail Chernov: parte del gruppo di utilità interne per Trickbot.
- Alexander Mozhaev: parte del team amministrativo responsabile dei compiti amministrativi generali.
Queste sanzioni si aggiungono ai sette membri di TrickBot/Conti sanzionati a febbraio. Come parte di queste sanzioni, tutte le organizzazioni di Regno Unito e USA sono proibite dal condurre transazioni finanziarie con questi individui, incluso il pagamento di richieste di riscatto.