США и Великобритания скоординированно ввели санкции против 11 членов российской киберпреступной группировки Trickbot. Власти считают их причастными к созданию и распространению трояна-вымогателя, который использовался для атак правительства США, американских компаний и объектов критической инфраструктуры обеих стран.
Исследователи ранее оценивали общее количество зараженных трояном устройств в два миллиона. Его рассылали посредством фишинговых писем, которые приходили жертвам якобы от лица чиновников. Спецслужбы США и Великобритании считают, что всего хакеры похитили не менее $180 млн. В том числе от Trickbot пострадали американские медцентры, которые подверглись масштабной атаке в разгар пандемии Covid-19.
Помимо трояна с одноименным названием, хакеры распространяли и другие: Anchor, BazarLoader, BazarBackdoor, Conti и Diavol. Также они участвовали в разработке вредоносной программы Ryuk.
В Великобритании от Conti и Ryuk пострадали в общей сложности 149 физических и юридических лиц, они заплатили злоумышленникам суммарно 27 млн фунтов стерлингов. Среди прочих атакам подверглись больницы, школы и некоторые ведомства, например Агентство по защите окружающей среды Шотландии. Также жертвами вымогателей стали служба здравоохранения Ирландии и правительство Коста-Рики.
Попавшие под санкции россияне — ключевые участники Trickbot. Саму группировку на Западе считают связанной с российскими спецслужбами. На то, что хакеры получали задания от разведки РФ, указывает британский национальный центр кибербезопасности, но первую очередь они все же руководствовались мотивами наживы, отмечает он.
В списке оказались:
- Андрей Жуйков (ники Dif и Defender) — лидер группировки, выполнял обязанности старшего администратора;
- Максим Галочкин (Bentley, Crypt и Volhvb) — глава группы тестировщиков;
- Максим Руденский — руководитель команды программистов;
- Михаил Царев (Mango, Misha Krutysha, Super Misha) — менеджер группы, отвечал за управление и бухгалтерию;
- Дмитрий Путилин (Grad, Staff) — связан с покупкой инфраструктуры Trickbot;
- Максим Халиуллин — менеджер по персоналу, известен в сети под псевдонимом Кагас;
- Сергей Логунцов — разработчик;
- Вадим Валиахметов (Weldon, Mentos и Vasm) — программист;
- Артем Куров (Naned) — программист-разработчик;
- Михаил Чернов(Bullet) — сотрудник группы внутренних утилит;
- Александр Можаев (Green, Rocco) — администратор.
Имущество и активы этих лиц в США и Великобритании будут заблокированы. Также под запрет попадут все сделки с ними.
«Это решение является частью продолжающихся совместных усилий США и Великобритании по борьбе с российской киберпреступностью. <…> Мы будем продолжать использовать наши коллективные инструменты и полномочия для борьбы с этими вредоносными кибердействиями», — заявил заместитель министра финансов США Брайан Нельсон.
