Украинец взломал и практически разрушил одну из опаснейших российских хакерских группировок
Украинский аноним взломал базу данных российской группировки Trickbot, в которой, как считается, были собраны едва ли не лучшие российские хакеры, возможно сотрудничавшие со спецслужбами.
Об этой истории рассказал журнал The Wall Street Journal. НВ пересказывает самые интересные моменты из статьи.
В разгар пандемии коронавируса группировка планировала нападение на более 400 больниц в США. «Будет паника», — написал хакер на русском языке в одном из внутренних чатов группировки Trickbot. Власти США и исследователи в области кибербезопасности сорвали большую часть плана, предупредив больницы до того, как вирус доберется до компьютеров больниц, однако хакеры все равно попытались провести свою безуспешную атаку.
Видео дня
Считается, что именно Trickbot стоит за созданием программы-вымогателя Conti, ставшей самой используемой программой в 2021 году. По данным ФБР, она использовалась в атаках на американские больницы и колл-центры 911, а также против национальной системы здравоохранения Ирландии, из-за чего врачи не могли принимать больных раком людей. Код программы использовался для создания еще одного похожего вируса Ryuk, который использовался в 2018 году для атаки на как минимум 235 больниц общего профиля и других медицинских учреждений в США.
Суть работы программы вымогателя, если упростить сводится к полной блокировке файлов на компьютере до тех пор, пока жертва не заплатит. Это большой бизнес — только за первое полугодие 2021 года американские компании заплатили таким образом более $600 млн.
Начиная с 2018 года Trickbot и филиалы группировки украли сотни миллионов долларов, взламывая компьютеры больниц, школ и представителей власти. По данным аналитической компании Chainalysis, хакерам удалось заработать около $70 млн в 2020 году, более $200 млн в 2021 году, а за период до начала марта 2022 года группировка забрала у своих жертв $13,5 млн.
Уже давно существуют подозрения, что группировка близко сотрудничает с российским ФСБ, получая от них информацию о потенциальных целях. За это хакеры воруют различные разведданные и секретные сведения у своих жертв.
К примеру, один из хакеров писал, что взломал электронную почту одного из журналистов организации Bellingcat, которая в тот момент занималась расследованием отравления Алексея Навального и причастности к нему ФСБ. Также члены группировки одобряли войну в Украине.
Американские власти несколько лет следили за Trickbot, однако не добились существенного прогресса в поимке преступников.
Однако теперь группировка оказалась под ударом, причем гораздо более серьезным, чем могла себе представить. Анонимный исследователь из Украины 27 февраля, а затем и 22 марта опубликовал исходный код программы-вымогателя Conti, а также переписку хакеров. Сам он отказался от дополнительных комментариев изданию. 22 участника, чьи электронные адреса засветились во внутренней переписке группировки, также не ответили на запрос о комментариях.
Более 200 тыс. сообщений, которыми обменялись между собой 450 участников группировки, менеджеров, координаторов и партнеров Trickbot за период с июня 2020 года по настоящее время, вскрыли преступный синдикат, а также то, как именно они справлялись с контратаками, их попытки диверсифицировать свою деятельность, а также начать разработку собственной криптовалюты. Помимо переписки, там есть также технические детали программы-вымогателя Conti.
Также Trickbot запустила свою партнерскую программу, к которой могли присоединиться другие преступники, таким образом получая доступ не только к программе-вымогателю, но также право пользование серверами группировки и помощью обученных переговорщиков.
«Они не различают цели, им все равно что атаковать — даже если это больница. Все, что им нужно, это деньги», — говорит Джон Фоккер, руководитель отдела киберрасследований в охранной фирме Trellix.
Украинец, опубликовавший файлы группировки, вероятно был одним из немногих аналитиков по кибербезопасности, которому удалось проникнуть в электронную инфраструктуру Trickbot. В переписке можно проследить за реакцией хакеров на блокировку компанией Microsoft серверов, которые арендовала группировка.
Примерно в то же время Киберкомандованию США удалось удалить программу-вымогатель с нескольких тысяч компьютеров, зараженных вирусом Conti. Тогда группировка решила атаковать компьютеры больниц, которые боролись с распространением COVID-19. Исследователи кибербезопасности, которые следили за Tricked, предупредили власти США, а Министерство внутренней безопасности предупредило больницы, что помогло отразить хакерскую атаку.
Судя по слитым сообщениям, после этого менеджеры Trickbot начали искать в группе источники утечки: «Проверил все вдоль и поперек, на ПК ничего нет, никаких утечек трафика», — пишет один из хакеров.
Группировка достаточно децентрализована, и, чтобы ее обезвредить, недостаточно арестовать 1−2 «боссов». Со временем там появился даже отдел кадров, который работает над вербовкой новых хакеров, пока те травят анекдоты, отпрашиваются к стоматологу и обсуждают отпуск.
В прошлом году ФБР арестовало в Майами Аллу Витте, гражданку Латвии с российскими корнями, которая была одним из ключевых разработчиков киберпреступной группировки. Тогда хакеры активно работали над поисками адвоката для нее, а также обсуждали возможное финансирование его работы, используя похищенные деньги. Главная стратегия защиты — показать, что Витте якобы не знала, на кого работает и чем занимается.
В конце февраля группировка также высказывалась, что поддерживает Кремль в войне против Украины.
После большой утечки группировка близка к развалу. Сейчас ее члены пытаются восстановить утраченное, однако значительных успехов не имеют. Намного активнее в Trickbot заняты сокрытием и уничтожением улик. «Кто нас слил?», — спрашивает один из хакеров.
Читайте также: Кое-что «забыли». Nokia ушла из России, оставив там оборудование и ПО, используемые российскими спецслужбами
Подписаться на ежедневную email-рассылку материалов раздела Техно Рассылка о том как технологии изменяют мир подписаться Каждый понедельник
Присоединяйтесь к нам в соцсетях Facebook, Telegram и Instagram.