Контакты
Подписка 2024
Персональные данные
4 апреля. Персональные данные в 2024 году: регулирование, практика, тенденции
Регистрируйтесь на онлайн-конференцию!

Кибервымогатели Trickbot хотели открыть 6 офисов в Санкт-Петербурге

03/02/22

trickbot-3Изданию Wired удалось ознакомиться с ранее неопубликованными документами, содержащими сотни сообщений, которыми обменивались между собой участники нашумевшей кибервымогательской группировки Trickbot.

Внутренняя переписка одного из ключевых участников группировки под псевдонимом Target с подельниками за период с лета по осень 2020 года проливает свет на то, как группировка была устроена и как действовала. Через несколько месяцев Киберкомандование США ликвидировало большую часть инфраструктуры Trickbot и временно сорвало ее операции.

Судя по переписке, Trickbot готовилась атаковать медучреждения по всей территории США. Кибервымогатели руководствовались простой логикой – на пике пандемии Covid-19 больницы будут очень быстро реагировать и платить выкуп, чтобы как можно скорее вернуться к работе. В частности, Target предоставил список из 428 больниц и завил, что «скоро начнется паника».

Костяк группировки составляют пять ключевых участников. Каждому участнику отведена своя роль – кто-то руководит командами разработчиков, а кто-то ответственен за развертывание вымогательского ПО. Главой организации является некто Stern.

В переписке от 20 августа 2020 года, Target отчитывался перед Stern о планах Trickbot в ближайшие недели расширить свои операции. В частности, к концу сентября планировалось открыть шесть офисов на 50-80 человек и не где-нибудь, а в Санкт-Петербурге. По мнению главы отдела аналитики ИБ-компании Mandiant Кимберли Гуди (Kimberly Goody), «вероятнее всего», многие операции Trickbot проводятся именно из этого города.

Согласно переписке между Target и Stern, в середине 2020 года у группировки были три основные статьи расходов. Два офиса (основной и тренировочный) использовались для текущих операций. «Хакерский» офис, насчитывавший более 20 сотрудников, использовался для проведения собеседований, найма на работу, а также для хранения оборудования и размещения серверов.

Судя по тому, что в сообщениях неоднократно упоминались «старшие менеджеры», Trickbot представляла собой нечто наподобие корпоративной структуры, и младший персонал практически никогда не общался со старшим.

За развертывание вымогательского ПО отвечал некто Professor, также имеющий отношение к кибервымогательской группировке Conti.

Помимо Conti, Trickbot «училась сотрудничать» и с другими группировками, в частности с вымогателями Ryuk.

Разработчиков ПО группировка нанимала через объявления на форумах в даркнете, а также на открытых русскоязычных сайтах для фрилансеров. Конечно, на сайтах в открытом интернете не сообщалось, что соискателям предлагается работа в киберпреступной организации. Например, в одном объявлении требовался опытный специалист в области реверс-инжиниринга со знанием C++, якобы для работы над созданием web-браузеров для Windows.

Процесс отбора кандидатов проходил в несколько этапов, чтобы отсеять тех, у кого нет достаточно необходимых навыков, а также сотрудников ИБ-компаний, работающих «под прикрытием».

Несмотря на недавние аресты участников кибервымогательских группировок, Trickbot, похоже, никуда не делась. Наоборот, по словам старшего консультанта по безопасности IBM Security Лимор Кессем (Limor Kessem), к концу прошлого года группировка усилила свои операции. С начала 2022 года группа безопасности IBM наблюдает, как Trickbot активизирует свои усилия по обходу средств защиты и сокрытию своей деятельности.

Темы:ПреступленияВымогателижурналистское расследованиеTrickbot
NGFW
9 апреля. Отечественные NGFW: как защитить облачную инфраструктуру и настроить обнаружение кибератак
Участвуйте и представляйте решения!

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Спецпроекты журнала "Информационная безопасность"
Станьте автором издания!

Еще темы...

More...