Les États-Unis et le Royaume-Uni ont sanctionné onze ressortissants russes associés aux opérations de cybercriminalité liées aux rançongiciels TrickBot et Conti.
L’opération malveillante TrickBot a été lancée en 2015 et s’est concentrée sur le vol d’identifiants bancaires. Cependant, au fil du temps, il s’est transformé en un malware modulaire qui a fourni un premier accès aux réseaux d’entreprise pour d’autres opérations de cybercriminalité, telles que les opérations du ransomware Ryuk et, plus tard, Conti.
Après de nombreuses tentatives de démantèlement de la part du gouvernement américain, le groupe de ransomwares Conti a pris le contrôle du fonctionnement de TrickBot et de son développement, l’utilisant pour améliorer des logiciels malveillants plus avancés et furtifs, tels que BazarBackdoor et Anchor.
Cependant, après l’invasion de l’Ukraine par la Russie, un chercheur ukrainien a divulgué les communications internes du gang de ransomwares Conti dans le cadre de ce que l’on appelle les Conti Leaks.
Peu de temps après, un autre inconnu, sous le surnom de TrickLeaks, a commencé à divulguer des informations sur l’opération TrickBot, illustrant encore davantage les liens entre les deux groupes.
En fin de compte, ces fuites ont conduit à l’arrêt de l’opération de ransomware Conti, qui s’est désormais scindée en de nombreuses autres opérations de ransomware, telles que Royal, Black Basta et ZEON.
Les membres de Conti et TrickBot sanctionnés
Aujourd’hui, onze membres de l’opération TrickBot et Conti ont été sanctionnés par les gouvernements des États-Unis et du Royaume-Uni pour des activités de cybercriminalité qui ont conduit au vol de 180 millions de dollars dans le monde.
« La NCA estime que le groupe était responsable de l’extorsion d’au moins 180 millions de dollars auprès des victimes dans le monde et d’au moins 27 millions de livres sterling auprès de 149 victimes britanniques. Les attaquants cherchaient à cibler les hôpitaux, les écoles, les autorités locales et les entreprises du Royaume-Uni », lit-on dans un communiqué de la NCA. La National Crime Agency du Royaume-Uni.
Le département américain du Trésor a également annoncé ces sanctions aujourd’hui, avertissant que certains membres du groupe Trickbot sont associés aux services de renseignement russes et que leurs activités sont alignées sur les intérêts du pays.
« Les cibles d’aujourd’hui incluent des acteurs clés impliqués dans la gestion et les achats du groupe Trickbot, qui a des liens avec les services de renseignement russes et a ciblé le gouvernement américain et des entreprises américaines, notamment des hôpitaux », a annoncé le département américain du Trésor.
« Pendant la pandémie de COVID-19, le groupe Trickbot a ciblé de nombreuses infrastructures critiques et prestataires de soins de santé aux États-Unis. »
Ces annonces coïncident avec la révélation des actes d’accusation contre neuf personnes liées aux opérations de malware Trickbot et de ransomware Conti, qui seront probablement annoncées plus tard dans la journée.
Vous trouverez ci-dessous les onze personnes sanctionnées par le Royaume-Uni et les États-Unis, qui seraient toutes des ressortissants russes.
Andrey Zhuykov était un acteur central du groupe et agissait en tant qu’administrateur principal. Andrey Zhuykov est également connu sous les surnoms en ligne Dif et Defender.
Maksim Galochkin dirigeait un groupe de testeurs, chargés du développement, de la supervision et de la mise en œuvre des tests. Maksim Galochkin est également connu sous les surnoms en ligne Bentley, Crypt et Volhvb.
Maksim Rudenskiy était un membre clé du groupe Trickbot et le chef d’équipe des codeurs.
Mikhail Tsarev était responsable du groupe, supervisant les ressources humaines et les finances. Il était responsable de la gestion et de la comptabilité. Mikhail Tsarev est également connu sous les surnoms Mango, Alexander Grachev, Super Misha, Ivanov Mixail, Misha Krutysha et Nikita Andreevich Tsarev.
Dmitry Putilin a été associé à l’achat de l’infrastructure Trickbot. Dmitry Putilin est également connu sous les surnoms en ligne Grad et Staff.
Maksim Khaliullin était responsable RH du groupe. Il a été associé à l’achat de l’infrastructure Trickbot, notamment à l’achat de serveurs privés virtuels. Maksim Khaliullin est également connu sous le surnom en ligne de Kagas.
Sergey Loguntsov était développeur du groupe Trickbot.
Vadym Valiakhmetov a travaillé comme codeur pour le groupe Trickbot et est connu sous les surnoms en ligne Weldon, Mentos et Vasm.
Artem Kurov a travaillé comme codeur avec des tâches de développement au sein du groupe Trickbot. Artem Kurov est également connu sous le surnom en ligne Naned.
Mikhail Chernov faisait partie du groupe d’utilitaires internes de Trickbot et est également connu sous le surnom en ligne Bullet.
Alexander Mozhaev faisait partie de l’équipe administrative responsable des tâches administratives générales et est également connu sous les surnoms en ligne Green et Rocco.
Ces sanctions s’ajoutent aux sept membres de TrickBot/Conti sanctionnés en février.
Dans le cadre de ces sanctions, il est interdit à toutes les organisations du Royaume-Uni et des États-Unis d’effectuer des transactions financières avec ces personnes, y compris de payer des demandes de rançon.
De nombreux membres du ransomware Conti étant désormais impliqués dans d’autres opérations de ransomware, cela créera une pente glissante pour les organisations et les sociétés de négociation de ransomware, qui ne pourront plus effectuer de paiements de rançon sans faire face aux risques associés à la violation des réglementations de l’OFAC.
Dans le passé, les sanctions ont conduit à la chute, ou du moins au changement de marque, des opérations de ransomware après que des sociétés de négociation ont refusé de verser des paiements aux gangs sanctionnés.
Les États-Unis ont déjà sanctionné de nombreuses personnes pour leur implication dans des opérations de ransomware, notamment CryptoLocker, SamSam, WannaCry, Evil Corp, REvil et BlackShadow/Pay2Key.