Gli Stati Uniti e il Regno Unito hanno emesso sanzioni congiunte contro presunti membri della banda criminale informatica TrickBot per il loro ruolo negli attacchi informatici contro infrastrutture critiche.
Trickbot, come malware, è nato come un modesto trojan bancario prima che i suoi autori iniziassero ad aggiungere moduli per altre forme di attività dannose. Si è quindi evoluto in un poliedrico coltellino cyber-svizzero, spesso utilizzato come impianto di primo o secondo stadio che, una volta sistemato su una macchina della vittima, recupera ransomware o altri payload. Il gruppo alla fine è diventato un affiliato ransomware per Conti e altri gruppi.
"Durante l'apice della pandemia di COVID-19 nel 2020, Trickbot ha preso di mira ospedali e centri sanitari, lanciando un'ondata di attacchi ransomware contro ospedali negli Stati Uniti", secondo un annuncio del Dipartimento del Tesoro degli Stati Uniti. “In uno di questi attacchi, il Trickbot Group ha distribuito ransomware contro tre strutture mediche del Minnesota, interrompendo le loro reti di computer e telefoni e provocando un dirottamento delle ambulanze. I membri del gruppo Trickbot hanno pubblicamente gongolato per la facilità di prendere di mira le strutture mediche e la velocità con cui i riscatti sono stati pagati al gruppo.
L'annuncio, in modo intrigante, collega le sette persone sanzionate ai servizi di intelligence russi, dal momento che gli attacchi del 2020 “li hanno allineati agli obiettivi dello stato russo e ai bersagli precedentemente condotti dai servizi di intelligence russi. Ciò includeva prendere di mira il governo degli Stati Uniti e le società statunitensi ". Trickbot è stato precedentemente ampiamente considerato una banda criminale informatica motivata finanziariamente, di lingua russa ma non sponsorizzata dalla Russia.
I soggetti sanzionati sono:
- Vitaly Kovalev, alias Bentley o Ben
- Maksim Mikhailov, detto Baget
- Valentin Karyagin, alias Globus
- Mikhail Iskritsky, detto Tropa
- Dmitry Pleshevskiy, alias Iseldor
- Ivan Vakhromeyev, detto Fungo
- Valery Sedletski, alias Strix
Le sanzioni significano che il governo può sequestrare qualsiasi bene che potrebbero avere negli Stati Uniti o nel Regno Unito e impedisce alle organizzazioni e agli individui con sede negli Stati Uniti e nel Regno Unito di fare affari con loro. Tutti e sette i criminali rimangono in libertà, presumibilmente sotto la confortante protezione dello stato russo, che continua a guardare dall'altra parte quando si tratta di criminali informatici che risiedono all'interno dei suoi confini.
"Queste sanzioni sono uno spettacolo gradito anche se possono essere accademiche", dice a Dark Reading Timothy Morris, capo consigliere per la sicurezza di Tanium. “Quello che farebbe, o dovrebbe fare, è rendere più difficile per i sette coinvolti riciclare i loro guadagni illeciti. Inoltre, probabilmente staranno attenti a qualsiasi piano di vacanza per paura della cattura o dell'estradizione. È bello vedere sanzioni e abbattimenti che hanno cooperazione intergiurisdizionale. "
Per quanto riguarda la banda stessa, a abbattimento da parte delle forze dell'ordine nel 2020 ha visto lentamente “avvizzire” la sua attività, secondo a rapporto dell'anno scorso da Intel 471, con gli operatori del malware che invece si rivolgono al Botnet Emotet per continuare le sue incursioni nelle imprese.
"Non abbiamo visto alcuna attività di Trickbot dal post sul blog del febbraio 2022", ha dichiarato Michael DeBolt, chief intelligence officer di Intel 471, in una dichiarazione inviata via e-mail. “È molto probabile che Trickbot non venga più visto. Uno scenario possibile è che il codice sorgente possa essere venduto o trapelato e altri attori delle minacce potrebbero riutilizzarlo o inserire la fonte in un nuovo progetto.
- Distribuzione di contenuti basati su SEO e PR. Ricevi amplificazione oggi.
- Platoblockchain. Web3 Metaverse Intelligence. Conoscenza amplificata. Accedi qui.
- Fonte: https://www.darkreading.com/endpoint/trickbot-members-sanctioned-pandemic-era-ransomware-hits
