Amerika Serikat dan Inggris telah memberikan sanksi kepada tujuh orang Rusia atas keterlibatan mereka dalam kelompok kejahatan dunia maya TrickBot, yang malware-nya digunakan untuk mendukung serangan oleh operasi ransomware Conti dan Ryuk.
TrickBot adalah geng kejahatan dunia maya yang bertanggung jawab untuk mengembangkan banyak keluarga malware, seperti malware TrickBot, BazarBackdoor, Anchor, dan BumbleBee.
Malware TrickBot dimulai sebagai trojan perbankan yang didistribusikan melalui email phishing untuk mencuri rekening bank online. Itu kemudian berkembang menjadi malware yang dirancang untuk menyediakan akses awal ke jaringan perusahaan untuk operasi ransomware Ryuk/Conti.
Saat malware terdeteksi secara luas oleh perangkat lunak keamanan, pengembang meluncurkan keluarga malware baru, seperti BazarBackdoor, JangkarDan Kumbanguntuk memberikan infeksi target yang lebih tersembunyi.
Grup TrickBot nanti diambil alih oleh geng ransomware Contiyang bertanggung jawab mengembangkan malware grup untuk mendukung serangan ransomware mereka sendiri.
Geng malware telah memfasilitasi atau melakukan banyak serangan ransomware profil tinggi, termasuk serangan terhadap Eksekutif Layanan Kesehatan Irlandia, serangan luas di rumah sakit ASdan Pemerintah Kosta Rika.
Inggris Raya menyatakan bahwa pelaku ancaman bertanggung jawab atas 149 serangan terhadap individu dan bisnis Inggris, menerima pembayaran uang tebusan setidaknya £27 juta.
“Strain ransomware yang dikenal sebagai Conti dan Ryuk memengaruhi 149 individu dan bisnis di Inggris. Ransomware bertanggung jawab untuk melepaskan setidaknya sekitar £27 juta,” kata the pengumuman Inggris tentang sanksi.
“Ada 104 korban Inggris dari strain Conti yang membayar sekitar £10 juta dan 45 korban dari strain Ryuk yang membayar sekitar £17 juta.”
Tujuh orang Rusia dikenai sanksi
Saat ini, Amerika Serikat dan Inggris telah memberikan sanksi kepada tujuh orang atas keterlibatan mereka dalam operasi malware TrickBot.
“Hari ini, Amerika Serikat, berkoordinasi dengan Inggris, menunjuk tujuh orang yang merupakan bagian dari geng kejahatan dunia maya Trickbot yang berbasis di Rusia,” baca sebuah pengumuman oleh Departemen Keuangan AS.
“Tindakan ini merupakan sanksi pertama dari jenisnya untuk Inggris, dan hasil dari kemitraan kolaboratif antara Kantor Pengawasan Aset Luar Negeri Departemen Keuangan AS dan Kantor Luar Negeri, Persemakmuran, dan Pembangunan Inggris; Badan Kejahatan Nasional; dan His Treasury Mulia untuk mengganggu kejahatan dunia maya dan ransomware Rusia.”
Sanksi datang setelah banyak percakapan internal, dan informasi pribadi bocor dari anggota Conti dan TrickBot dalam apa yang disebut ContiLeaks dan TrickLeaks.
Sementara ContiLeaks lebih fokus pada membocorkan percakapan internal dan kode sumber, TrickLeaks melangkah lebih jauh, dengan identitas, akun online, dan informasi pribadi anggota TrickBot bocor ke publik di Twitter.
Pelanggaran data ini pada akhirnya menyebabkan Geng Conti menutup operasi mereka dan anggotanya memulai operasi ransomware baru atau bergabung dengan yang sudah ada.
Sebagai akibat dari sanksi ini, semua properti dan dana di Amerika Serikat dan Inggris milik individu-individu berikut telah diblokir.
Vitaly Kovalev adalah tokoh senior dalam Grup Trickbot. Vitaly Kovalev juga dikenal sebagai monikers online “Bentley” dan “Ben”. Hari ini, sebuah dakwaan dibuka di Pengadilan Distrik AS untuk Distrik New Jersey yang menuntut Kovalev dengan konspirasi untuk melakukan penipuan bank dan delapan tuduhan penipuan bank sehubungan dengan serangkaian penyusupan ke rekening bank korban yang disimpan di berbagai lembaga keuangan yang berbasis di AS. yang terjadi pada tahun 2009 dan 2010, sebelum keterlibatannya di Dyre atau Grup Trickbot.
Maksim Mikhailov telah terlibat dalam aktivitas pengembangan untuk Grup Trickbot. Maksim Mikhailov juga dikenal sebagai moniker online “Baget”.
Valentin Karyagin telah terlibat dalam pengembangan ransomware dan proyek malware lainnya. Valentin Karyagin juga dikenal sebagai moniker online “Globus”.
Mikhail Iskritsky telah mengerjakan proyek pencucian uang dan penipuan untuk Trickbot Group. Mikhail Iskritskiy juga dikenal sebagai moniker online “Tropa”.
Dmitry Pleshevsky bekerja menyuntikkan kode berbahaya ke situs web untuk mencuri kredensial korban. Dmitry Pleshevskiy juga dikenal sebagai moniker online “Iseldor”.
Ivan Vakhromeyev telah bekerja untuk Grup Trickbot sebagai manajer. Ivan Vakhromeyev juga dikenal sebagai moniker online “Jamur”.
Valery Sedletsky telah bekerja sebagai administrator untuk Grup Trickbot, termasuk mengelola server. Valery Sedletski juga dikenal sebagai moniker online “Strix”.
Selanjutnya, individu dan perusahaan diblokir dari melakukan transaksi dengan individu, termasuk membayar uang tebusan.
Karena orang-orang ini kemungkinan pindah ke operasi ransomware lain setelah operasi Conti ditutup, tindakan ini juga dapat secara signifikan menghambat pembayaran uang tebusan ke geng ransomware lain yang diketahui memiliki anggota yang sebelumnya berafiliasi dengan Conti.
Ini termasuk BlackCat, Royal Group, AvosLocker, Karakurt, LockBit, Silent Ransom, dan DagonLocker.
“Selain itu, orang-orang yang terlibat dalam transaksi tertentu dengan individu yang ditunjuk hari ini mungkin akan terkena penunjukan itu sendiri,” Departemen Keuangan memperingatkan.
“Selain itu, lembaga keuangan asing mana pun yang dengan sengaja memfasilitasi transaksi signifikan atau menyediakan layanan keuangan signifikan untuk individu atau entitas mana pun yang ditunjuk hari ini dapat dikenakan sanksi koresponden AS atau akun payable-through.”
