Внутренняя переписка между руководителями группировки проливает свет на ее структуру и деятельность.
Изданию Wired удалось ознакомиться с ранее неопубликованными документами, содержащими сотни сообщений, которыми обменивались между собой участники нашумевшей кибервымогательской группировки Trickbot. Внутренняя переписка одного из ключевых участников группировки под псевдонимом Target с подельниками за период с лета по осень 2020 года проливает свет на то, как группировка была устроена и как действовала. Через несколько месяцев Киберкомандование США ликвидировало большую часть инфраструктуры Trickbot и временно сорвало ее операции.
Группировка известна тем, что не брезгует атаками на медицинские учреждения, хотя для многих кибервымогателей это табу. Судя по переписке, Trickbot готовилась атаковать медучреждения по всей территории США. Кибервымогатели руководствовались простой логикой – на пике пандемии Covid-19 больницы будут очень быстро реагировать и платить выкуп, чтобы как можно скорее вернуться к работе. В частности, Target предоставил список из 428 больниц и завил, что «скоро начнется паника».
Костяк группировки составляют пять ключевых участников. Каждому участнику отведена своя роль – кто-то руководит командами разработчиков, а кто-то ответственен за развертывание вымогательского ПО. Главой организации является некто Stern.
В переписке от 20 августа 2020 года, Target отчитывался перед Stern о планах Trickbot в ближайшие недели расширить свои операции. В частности, к концу сентября планировалось открыть шесть офисов на 50-80 человек и не где-нибудь, а в Санкт-Петербурге. По мнению главы отдела аналитики ИБ-компании Mandiant Кимберли Гуди (Kimberly Goody), «вероятнее всего», многие операции Trickbot проводятся именно из этого города.
Согласно переписке между Target и Stern, в середине 2020 года у группировки были три основные статьи расходов. Два офиса (основной и тренировочный) использовались для текущих операций. «Хакерский» офис, насчитывавший более 20 сотрудников, использовался для проведения собеседований, найма на работу, а также для хранения оборудования и размещения серверов.
Судя по тому, что в сообщениях неоднократно упоминались «старшие менеджеры», Trickbot представляла собой нечто наподобие корпоративной структуры, и младший персонал практически никогда не общался со старшим.
За развертывание вымогательского ПО отвечал некто Professor, также имеющий отношение к кибервымогательской группировке Conti.
Помимо Conti, Trickbot «училась сотрудничать» и с другими группировками, в частности с вымогателями Ryuk.
Разработчиков ПО группировка нанимала через объявления на форумах в даркнете, а также на открытых русскоязычных сайтах для фрилансеров. Конечно, на сайтах в открытом интернете не сообщалось, что соискателям предлагается работа в киберпреступной организации. Например, в одном объявлении требовался опытный специалист в области реверс-инжиниринга со знанием C++, якобы для работы над созданием web-браузеров для Windows.
Процесс отбора кандидатов проходил в несколько этапов, чтобы отсеять тех, у кого нет достаточно необходимых навыков, а также сотрудников ИБ-компаний, работающих «под прикрытием».
Несмотря на недавние аресты участников кибервымогательских группировок, Trickbot, похоже, никуда не делась. Наоборот, по словам старшего консультанта по безопасности IBM Security Лимор Кессем (Limor Kessem), к концу прошлого года группировка усилила свои операции. С начала 2022 года группа безопасности IBM наблюдает, как Trickbot активизирует свои усилия по обходу средств защиты и сокрытию своей деятельности.
От классики до авангарда — наука во всех жанрах