Em uma ação coordenada, a primeira desse tipo, as autoridades dos Estados Unidos e do Reino Unido sancionaram sete indivíduos supostamente por trás da infame gangue de crimes cibernéticos baseada na Rússia, Trickbot.
A ação, que marca a primeira vez que autoridades do Reino Unido emitem sanções contra supostos operadores de ransomware, levou o Tesouro dos EUA e o Ministério das Relações Exteriores do Reino Unido a impor sanções contra hackers russos supostamente conectados a uma única rede por trás das variantes de ransomware Conti e Ryuk, bem como o infame Trojan bancário Trickbot. Isso também marca a primeira vez que as autoridades vincularam Conti, Ryuk e Trickbot a uma única organização criminosa.
As autoridades do Reino Unido também estão avaliando que os indivíduos têm links para o grupo cibercriminoso baseado na Rússia conhecido como Evil Corp, que também foi sancionado pelo Tesouro dos EUA em dezembro de 2019.
As últimas sanções significam que os sete indivíduos, nomeados como Vitaly Kovalev, Valery Sedletski, Valentin Karyagin, Maksim Mikhailov, Dmitry Pleshevskiy, Mikhail Iskritskiy e Ivan Vakhromeyev, congelaram seus bens, impuseram proibições de viagem e foram impedidos de fazer transações com organizações americanas. Isso também impede que os americanos paguem resgates a entidades sancionadas. As autoridades americanas também acusaram Kovalev, descrito como uma figura sênior dentro do Trickbot, conhecido online como “Bentley” e “Ben”, de conspiração para cometer fraude bancária e oito acusações de fraude bancária.
Como todas as sete pessoas moram na Rússia, que não extradita seus cidadãos, é improvável que sejam presas pelas autoridades dos EUA ou do Reino Unido.
A Agência Nacional do Crime do Reino Unido diz que o grupo foi responsável por extorquir pelo menos £ 27 milhões (US$ 33 milhões) de 149 vítimas britânicas, incluindo hospitais, escolas, empresas e autoridades locais. Em seu anúncio, o Tesouro observou que o Trickbot tinha como alvo hospitais e unidades de saúde, lançando uma onda de ataques de ransomware contra hospitais nos EUA durante o auge da pandemia de COVID-19. O Trickbot também estava ligado ao ataque de ransomware de setembro no Distrito Escolar Unificado de Los Angeles, ou LAUSD, o segundo maior distrito dos Estados Unidos.
Em um anúncio recente, o governo dos EUA disse que a Conti, que mudou seu nome de Ryuk em 2020, realizou mais de 1.000 operações de ransomware visando a infraestrutura crítica dos EUA e internacional, incluindo agências de aplicação da lei, serviços médicos de emergência e 911 centros de despacho. recentemente, a quadrilha se infiltrou em 27 instituições governamentais da Costa Rica e exigiu um resgate de US$ 20 milhões.
O Tesouro também disse na quinta-feira que os atuais membros do Trickbot estão associados à inteligência russa. “Os preparativos do Trickbot Group em 2020 os alinharam com as metas do estado russo e as metas anteriormente feitas pelos serviços de inteligência russos”, disse ele. “Isso incluiu visar o governo dos EUA e empresas americanas.”
O Centro Nacional de Segurança Cibernética do Reino Unido, parte do GCHQ, também avaliou que é “altamente provável” que membros-chave tenham ligações com serviços de inteligência russos. “A seleção de certas organizações, como o Comitê Olímpico Internacional, pelo grupo quase certamente se alinha com os objetivos do Estado russo”, disse ele.
Esta última remoção ocorre apenas algumas semanas depois que as agências policiais nos EUA e na Europa anunciaram que haviam apreendido a infraestrutura por trás do Hive, uma das operações de ransomware mais prolíficas. A Hive é responsável pelos ataques ao serviço de saúde pública da Costa Rica e ao prestador de serviços de emergência e ambulância com sede em Nova York, Empress EMS.