#Trickbot #Conti #Dối_lừa #Ransomware
Bộ Tài chính Hoa Kỳ và Văn phòng Ngoại giao Vương quốc Anh đã công bố hôm nay rằng họ đã áp đặt lệnh trừng phạt đối với 11 người vì tình nghi liên quan đến băng đảng tội phạm mạng Trickbot. Bộ Tư pháp Hoa Kỳ cũng đã công bố cáo trạng chống lại 9 người được cho là có liên quan đến Trickbot và tổ chức tội phạm em ruộng của nó là Conti. Trong số 9 người đó, có 7 người cũng được liệt kê trong danh sách các lệnh trừng phạt hôm nay.
Công tác thúc đẩy pháp luật và chống tội phạm mạng giữa Hoa Kỳ, Anh và các quốc gia trên thế giới đã có sự cần cù trong những năm qua để ngăn chặn các cuộc tấn công tống tiền mạng, đặc biệt là những cuộc tấn công do các nhóm tội phạm có căn cứ ở Nga. Và Trickbot, một băng đảng đáng gờm và thông dụng, đã lặp đi lặp lại là mục tiêu cụ thể của các hoạt động này. Vào tháng 2, Hoa Kỳ và Anh đã công bố lệnh trừng phạt đối với 7 người được cho là thành viên Trickbot và buộc tội họ.
Vòng trừng phạt mới này bao gồm những thành viên được cho là của Trickbot bị buộc tội làm nhiệm vụ code và quản trị cho nhóm, cũng như các cán bộ cấp cao, người lãnh đạo nhóm phát triển và người quản lý nhân sự và tài chính. Lệnh trừng phạt cũng đề cập đến người đứng đầu phòng thử nghiệm của Trickbot đối với phần mềm độc hại và cơ sở hạ tầng kỹ thuật của băng đảng. Cá nhân này, Maksim Galochkin, sử dụng tên lửa Bentley và những cái tên khác. WIRED đã xác định Galochkin tuần trước trong một cuộc điều tra sâu vào Trickbot và hoạt động của nó.
Bộ Tư pháp Hoa Kỳ đã công bố ba cáo trạng hôm nay, trong đó có Galochkin. Một cáo trạng trong Quận Bắc Ohio, được nộp ngày 15 tháng 6, buộc tội ông và 10 thành viên Trickbot khác với “âm mưu sử dụng phần mềm độc hại Trickbot để đánh cắp tiền và thông tin cá nhân và bảo mật từ các nạn nhân không ngờ, bao gồm cả các doanh nghiệp và tổ chức tài chính tọa lạc tại Hoa Kỳ và trên toàn thế giới, bắt đầu từ tháng 11 năm 2015.” Khung thời gian này có nghĩa là các khiếu nại này liên quan đến mọi hoạt động Trickbot từ khi băng đảng được thành lập.
Một cáo trạng từ Quận Trung Tennessee, nộp ngày 12 tháng 6, buộc tội Galochkin và ba người khác với việc sử dụng phần mềm đòi tiền Conti trong các cuộc tấn công nhằm vào “các doanh nghiệp, tổ chức phi lợi nhuận và chính quyền tại Hoa Kỳ” từ năm 2020 đến tháng 6 năm 2022. Và một cáo trạng tại Khu vực Nam California, được nộp ngày 14 tháng 6, buộc tội Galochkin với cuộc tấn công đòi tiền Conti vào ngày 1 tháng 5 năm 2021 tại Scripps Health.
“Thông báo hôm nay cho thấy sự cam kết không ngừng của chúng tôi để đưa những tên tội phạm mạng tàn bạo nhất ra trước công lý – những người đã cống hiến mình để gây tổn hại cho công chúng Mỹ, bệnh viện, trường học và doanh nghiệp”, Giám đốc Cục Điều tra Liên bang Christopher Wray nhấn mạnh trong một tuyên bố vào thứ Năm. “Các tội phạm mạng biết rằng chúng tôi sẽ sử dụng mọi công cụ hợp pháp có sẵn để xác định họ, vượt qua mệt mỏi để truy lùng họ và ngăn chặn hoạt động tội phạm của họ. Chúng tôi, cùng với các đối tác liên quốc gia và liên bang của chúng tôi, sẽ tiếp tục áp đặt những mức chi phí thông qua các hoạt động liên kết bất kể những tên tội phạm này có cố gắng che giấu ở đâu.”
Công tác phá án tội phạm mạng toàn cầu đã gặp khó khăn, đặc biệt khi tội phạm đó có căn cứ tại các quốc gia như Nga cho phép họ hoạt động mà không bị trừng phạt. Tuy nhiên, nhà nghiên cứu độc lập cho biết việc áp đặt trách nhiệm công khai đối với các cá nhân cũng như sự sẵn sàng của lực lượng chống tội phạm mạng đã có ảnh hưởng không chỉ đối với cá nhân mà còn đối với cả bối cảnh tội phạm rộng lớn.
Các tội phạm mạng thường nghĩ rằng họ có thể tiến hành các cuộc tấn công mạng vào các công ty và cá nhân trong sự ẩn danh, Landon Winkelvoss, phó chủ tịch nghiên cứu của công ty tình báo số Nisos, một cuộc điều tra chi tiết về danh tính thực tế của Bentley đã được tiến hành theo yêu cầu của WIRED. Nhưng “họ luôn mắc lỗi và bản chất của tội phạm họ gây ra đòi hỏi dấu vết số học của họ phải có ở ngoại vi”. Winkelvoss cho biết trong khi tội phạm mạng đã xây dựng chiến lược để duy trì an ninh hoạt động và tránh ánh sáng đèn, nhưng nỗ lực của họ để giữ mình “vô hình” không phải là hoàn toàn đáng tin cậy.
“Việc sử dụng lại máy chủ hạ tầng và các bộ chọn lựa như địa chỉ email và số điện thoại thường là sự lựa chọn trở lại nhanh nhất đối với sự đầu tư của họ,” Winkelvoss cho biết. “Đáng tiếc đối với họ, điều này làm cho việc phơi bày danh tính của họ tương đối dễ dàng, đặc biệt là khi tổ chức chính phủ và tư nhân có nhiều dữ liệu công khai hơn họ.”
Nguồn: https://www.wired.com/story/trickbot-conti-sanctions-indictments/
The United States Department of Treasury and United Kingdom Foreign Office announced today that they have sanctioned 11 people for their alleged involvement in the Trickbot cybercriminal gang. The US Department of Justice also unsealed indictments against nine people whom it says are connected to Trickbot and its sibling organization Conti. Seven of those nine also appear on today’s sanctions list.
US and UK law enforcement working with officials around the world have made a concerted effort in recent years to deter cybercrime—particularly ransomware attacks and those launched by Russia-based actors. And Trickbot, a notorious and prolific gang, has repeatedly been a specific target of these actions. In February, the US and UK announced sanctions against seven alleged Trickbot actors and an indictment against them.
The new round of censures includes alleged Trickbot members who are accused of acting as coders and administrators for the group, as well as senior staff, the developer team lead, and a human resources and finance manager. The sanctions also name Trickbot’s alleged head of testing for the gang’s malware and technical infrastructure. This individual, Maksim Galochkin, goes by the handle Bentley, among others. WIRED identified Galochkin last week as part of an extensive investigation into Trickbot and its operations.
The Department of Justice announced three indictments today that include Galochkin. One in the Northern District of Ohio, filed on June 15, charges him and 10 other alleged Trickbot members with “conspiring to use the Trickbot malware to steal money and personal and confidential information from unsuspecting victims, including businesses and financial institutions located in the United States and around the world, beginning in November 2015.” This timeline means that the charges essentially relate to all Trickbot activity going back to the group’s inception.
An indictment from the Middle District of Tennessee, filed on June 12, charges Galochkin and three others with use of the Conti ransomware in attacks targeting “businesses, nonprofits, and governments in the United States” between 2020 and June 2022. And an indictment in the Southern District of California, filed on June 14, charges Galochkin in connection with the May 1, 2021, Conti ransomware attack on Scripps Health.
“Today’s announcement shows our ongoing commitment to bringing the most heinous cyber criminals to justice—those who have devoted themselves to inflicting harm on the American public, our hospitals, schools, and businesses,” FBI director Christopher Wray said in a statement on Thursday. “Cyber criminals know that we will use every lawful tool at our disposal to identify them, tirelessly pursue them, and disrupt their criminal activity. We, alongside our federal and international partners, will continue to impose costs through joint operations no matter where these criminals may attempt to hide.”
It has been difficult for global law enforcement to make progress on deterring cybercrminal activity, especially when actors are based in countries like Russia that allow them to operate with impunity. But independent researchers say that imposing public accountability does have impacts on the individuals as well as the broader criminal landscape.
Cybercriminals “often think they can conduct cyberattacks against corporations and individuals under anonymity,” says Landon Winkelvoss, vice president of research for the digital intelligence firm Nisos, which conducted a detailed investigation of Bentley’s real-world identity at WIRED’s request. But “they all make mistakes and the very nature of their crimes requires that their digital footprint is in the wild.”
Winkelvoss notes that while cybercriminals have systematized strategies for maintaining their operational security and staying out of the limelight, their efforts to remain invisible are far from foolproof.
“Reusing command and control infrastructure servers and selectors like emails addresses and phone numbers is often the quickest return on their investment,” Winkelvoss says. “Unfortunately for them, this makes their unmasking relatively straightforward, especially when law enforcement and private industry (have) more publicly available data than they do.”
