Trickbot, seguire i soldi per bloccare il ransomware
Buon sabato e ben ritrovato caro cyber User. Se pensi di aver perso la puntata della settimana scorsa, non è così. NINAsec ha saltato una settimana per via di miei problemi di salute legati ai mali stagionali!
Arrivano le sanzioni a responsabili di Trickbot
Gli Stati Uniti e il Regno Unito hanno ufficialmente sanzionato alcuni dei membri della banda criminale informatica Trickbot. Le autorità governative USA e UK infatti, stanno lavorando in coordinamento per questa operazione già da tempo e gli ultimi aggiornamenti accertano l'identità di nuove 7 persone, sospettate di aver preso parte alla cyber gang.
Alcuni dei nominativi ci suoneranno sicuramente familiari, ho coperto infatti l'anno scorso, tutta l'operazione di doxing che è scaturita dal Conti leak, la fuga di dati subita dal noto gruppo ransomware ad opera di un ricercatore che aveva accesso alle piattaforme criminali, in occasione dello schieramento pro Russia del gruppo Conti sull'invasione dell'Ucraina.
Infatti va detto che Trickbot è sviluppato dai membri dell'ormai estinta gang Conti.
Trickbot ha avuto un grande successo negli ultimi 3 anni a seguito delle operazioni ransomware che sono state portate a termine mediante la propria struttura RaaS (ransomware-as-a-service). Tuttavia quello che viene considerato il fondatore e principale responsabile di questa operazione criminale, Vitaly "Bentley" Kovalev, viene accusato e ricercato dalle autorità statunitensi già nel 2012 per aver gestito un grande giro di money mules prima del 2010. Il fine di questo massiccio giro d'affari, era il riciclaggio di denaro rinveniente da attacchi informatici contro aziende americane.
In questa occasione viene anche incastrata Christina Svechinskaya, che passerà alla storia come "la ragazza hacker più sexy del mondo", per l'aiuto riposto a Bentley mentre si trovava in un viaggio/studio/lavoro negli Stati Uniti. Era uno dei suoi 37 "muli", apriva conti correnti e operava trasferimenti di denaro unicamente per riciclare i denari di Bentley, l'FBI l'ha arrestata e ha rischiato 40 anni di carcere, ma nel 2013 viene improvvisamente liberata.
Sulla sua storia, Bentley stesso nel 2015 mette in piedi una compagnia cinematografica al fine di realizzarne un film, titolo Botnet. La compagnia si rivelerà presto una copertura e durante un'operazione un raid dei servizi segreti russi si scoprono all'interno computer che operavano a supporto di Dyre: un pericoloso (per l'epoca) malware, dalle cui ceneri nascerà poi Trickbot.
A seguito di queste indagini è utile notare che vengono accusati di tradimento, dal governo russo, anche tre figure di spicco della scena cyber intelligence. Ruslan Stoyanov (Kaspersky Lab), arrestato a 14 anni di reclusione; Sergey Mikhaylov (unità anticrimine informatico russa), arrestato a 22 anni di reclusione; Ilya Sachkov (Group-IB), arrestato nel 2021 ancora in attesa di processo. Le accuse sono tutte basate sul sospetto di aver aiutato, ciascuno dalla propria posizione, gli Stati Uniti a ricevere dettagli sui criminali dietro la compagnia cinematografica, quindi dietro l'operazione malware Dyre.
Queste sanzioni avranno quasi sicuramente un significato simbolico visto che "hacker" di tipo criminale come quelli citati difficilmente saranno così distratti da recarsi o effettuare transazioni da/verso USA o UK. Ma nella pratica, aiuteranno a limitare l'attività di riciclaggio del denaro criminale, rendendo sempre più ostico l'acquisto di beni e i trasferimenti di soldi, così da confinarli nel proprio Stato attuale e limitandone gravemente il potere d'acquisto altrove.
I dettagli finora noti delle persone sanzionate
ISKRITSKY, Mikhail (alias "Mty"; alias "Tropa"), Mosca, Russia; Data di nascita 5 novembre 1981; nazionalità Russia; Indirizzo e-mail wet-dhg@rambler.ru; Sesso Maschio.
KARYAGIN, Valentin Olegovich (alias "Globus"), Volgograd, Russia; Data di nascita 19 aprile 1992; nazionalità Russia; Indirizzo e-mail valentin.karyagin@gmail.com; alt. Indirizzo e-mail globus290382@yandex.ru; alt. Indirizzo e-mail valentinka.ne@mail.ru; alt. Indirizzo e-mail v.karyagin@neovox.ru; Sesso Maschio.
KOVALEV, Vitaly Nikolayevich (alias KOVALEV, Vitaliy; alias "Ben"; alias "Bentley"), Russia; Data di nascita 23 giugno 1988; nazionalità Russia; Sesso Maschio.
MIKHAILOV, Maksim Sergeevich (alias "Baget"), Sebastopoli, Ucraina; Data di nascita 29 luglio 1976; nazionalità Ucraina; Sesso Maschio.
PLESHEVSKIY, Dmitry (alias "Iseldor"), Zelenograd, Russia; Data di nascita 30 luglio 1992; nazionalità Russia; Indirizzo e-mail pleshevskiy@gmail.com; alt. Indirizzo e-mail dmitriy@ideascup.me; alt. Indirizzo e-mail support@ideascup.me; alt. Indirizzo e-mail pleshevskie@gmail.com; Sesso Maschio.
SEDLETSKI, Valery (alias SEDLETSKI, Valery Veniaminovich; alias "Strix"), Rostov, Russia; Data di nascita 29 luglio 1974; nazionalità Russia; Sesso Maschio.
VAKHROMEYEV, Ivan Vasilyevich (alias VAKROMEEV, Ivan Vasilievich; alias "Fungo"), Naro-Fominsk, Russia; Data di nascita 29 dicembre 1988; nazionalità Russia; Indirizzo e-mail ivanalert@mail.ru; Sesso Maschio.
La vicenda delle sanzioni
La reazione di Lockbit alla notizia del ban di sette membri di Trickbot è stata quella di diffondere un proprio commento ironico: "quindi dove sono Stern e Badi?".
Questa è la seconda volta che Lockbit attacca i suoi concorrenti o li espone in qualche modo tramite forums di comunità hacker.
Se vogliamo ragionare su quanto accaduto al gruppo di membri di Trickbot, pensiamo al motivo per cui l'operatore LockBit rimane anonimo e non è stato arrestato dopo quattro anni di lavoro criminale.
Si può dire che segue quasi tutti i principi dell'anonimato: ad esempio, in questo caso, un utente pubblica per lui un link a un libro (come materiale utile), ma LockBit si rifiuta di aprire il link e chiede all'utente di caricare quanto condiviso, sul proprio server, mediante il recente servizio di file sharing che il gruppo criminale offre sotto rete Tor.
Evento: Expo Security & Cyber Security Forum
INSICUREZZA DIGITALE sarà MEDIA PARTNER della settima edizione di Expo Security & Cyber Security Forum, uno dei principali eventi italiani sulla Sicurezza Informatica, che si terrà il 24 , 25 e 26 Maggio 2023 presso il Padiglione Espositivo del Marina di Pescara.
Expo Security & Cyber Security Forum è l'evento di riferimento per il centro sud Italia per l'intera filiera della Cybersecurity nella sua accezione global e local: sicurezza fisica, sicurezza logica e sicurezza integrata.
Anche quest'oggi abbiamo concluso, ti ringrazio per il tempo e l'attenzione che mi hai dedicato, augurandoti buon fine settimana, ti rimando al mio blog e alla prossima settimana per un nuovo appuntamento con NINAsec.