„Das russische Kriminalitätsproblem wird nicht verschwinden. Tatsächlich ist es jetzt wahrscheinlich näher an den Sicherheitsdiensten als je zuvor“, sagt John Hultquist, Chefanalyst von Google Cloud für Mandiant Intelligence. „Sie führen tatsächlich Angriffe durch und tun Dinge, die den Sicherheitsdiensten zugute kommen, daher haben die Sicherheitsdienste jedes Interesse daran, sie zu schützen.“
Analysten sind wiederholt zu dem Schluss gekommen, dass in Russland tätige Cyberkriminelle Verbindungen zum Kreml haben. Und diese Verbindungen haben werden immer klarer. Als Großbritannien und die USA im Februar Trickbot- und Conti-Mitglieder mit Sanktionen belegten, gaben beide Länder an, dass die Mitglieder mit „russischen Geheimdiensten“ in Verbindung stehen. Sie fügten hinzu, dass es „wahrscheinlich“ sei, dass einige ihrer Aktionen von der russischen Regierung gesteuert worden seien und dass die Kriminellen zumindest einige ihrer Opfer auf der Grundlage „zuvor von russischen Geheimdiensten durchgeführter gezielter Maßnahmen“ ausgewählt hätten.
In den Trickleaks-Daten enthaltene Chat-Protokolle bieten seltene Einblicke in die Art dieser Verbindungen. Im Jahr 2021 erschienen zwei mutmaßliche Trickbot-Mitglieder, Alla Witte und Vladimir Dunaev, vor US-Gerichten geladen mit Cyberkriminalitätsdelikte. Im November 2021, so die Analyse von Nisos, zeigten die Trickleaks-Chats, dass Mitglieder um ihre Sicherheit besorgt waren und in Panik gerieten, als ihre eigenen Kryptowährungs-Wallets nicht mehr zugänglich waren. Aber jemand, der den Namen Silver benutzte – angeblich ein hochrangiges Trickbot-Mitglied –, beruhigte ihn. Während das russische Innenministerium „gegen“ sie sei, sagten sie, seien die Geheimdienste „für uns oder neutral“. Sie fügten hinzu: „Der Chef hat die richtigen Kontakte.“
Im selben Monat sagte der Manuel-Handle, der mit Galochkin in Verbindung steht, er glaube, dass Trickbot-Anführer Stern laut Nisos-Analyse „seit 2000“ in Cyberkriminalität verwickelt sei. Ein anderes Mitglied namens Angelo antwortete, dass Stern „die Verbindung zwischen uns und den Reihen/Abteilungsleitern beim FSB“ sei. Die früheren Conti-Leaks deuteten auch auf einige Verbindungen zu russischen Geheimdiensten und Sicherheitsdiensten hin.
Wie gewohnt
Trotz konzertierter weltweiter Bemühungen, russische Cyberkriminalität durch Sanktionen und Anklagen zu unterbinden, gedeihen Banden wie Trickbot weiterhin. „Es hat sich weniger geändert, als man auf den ersten Blick sieht“, sagt Ole Villadsen, leitender Analyst bei IBMs X-Force-Sicherheitsgruppe. Er stellt fest, dass viele Trickbot- und Conti-Mitglieder immer noch aktiv sind, weiterhin untereinander kommunizieren und eine gemeinsame Infrastruktur nutzen, um Angriffe zu starten. Die Fraktionen der Gruppe „arbeiten weiterhin hinter den Kulissen zusammen“, sagt Villadsen.
Burns Koven von Chainalysis sagt, dass das Unternehmen die gleichen langjährigen Beziehungen in seinen Kryptowährungs-Wallet-Daten widerspiegelt. „Seit der Conti-Diaspora können wir immer noch die finanzielle Verflechtung zwischen der alten Garde erkennen“, sagt sie. „Es gibt immer noch einige symbiotische Beziehungen.“
Die Abschreckung von Cyberkriminalität ist in verschiedenen Gerichtsbarkeiten und unter verschiedenen geopolitischen Bedingungen schwierig. Aber selbst bei begrenztem Einfluss in Russland – wo westliche Strafverfolgungsbehörden kaum eine Chance haben, Personen zu verhaften oder gar auszuliefern – können die Bemühungen, Cyberkriminelle zu benennen und zu beschämen, Wirkung zeigen. Holden, der langjährige Trickbot-Forscher, sagt, dass Trickbot-Mitglieder gemischte Reaktionen auf die Entlarvung hatten. „Einige von ihnen sind in den Ruhestand getreten, einige haben ihre Spitznamen geändert – einigen war es im Grunde egal, weil die Community dadurch nicht wesentlich beeinträchtigt wurde“, sagt Holden. Er fügt jedoch hinzu, dass die Offenlegung der Identität von Menschen dazu führen kann, dass sie in ihren Gemeinschaften „unwillkommen“ werden.
Vasovic, der CEO von Cybernite Intelligence, sagt, als der Trickleaks-Account zum ersten Mal auf Twitter zu posten begann, habe er auch Bilder von Galochkin veröffentlicht, um seine Identität preiszugeben. Zusammen mit anderen Cybersicherheitsforschern Rufen Sie Ransomware-Kriminelle auf, Vasovic erhielt nach seinen Enthüllungen Gewaltandrohungen und Online-Belästigung. E-Mails und private Chatnachrichten, die er mit WIRED geteilt hat, scheinen eine unbekannte Person zu zeigen, die behauptete, für mehrere namentlich nicht genannte Cyberkriminalitätsgruppen zu arbeiten und nicht nur Vasovic, sondern auch seine Familie bedrohte.
„Sie versuchen, Angst zu schüren. Und wenn es funktioniert, funktioniert es. Und wenn nicht, dann nicht“, sagt Vasovic. Tatsächlich behauptete die Person, die die Drohungen ausgesprochen hatte, gegenüber Vasovic, dass gegen sie bereits Anklage erhoben worden sei und sie ihre Frau und ihre Tochter nicht mehr in den Urlaub ins Ausland mitnehmen könne. Die Person behauptete auch, dass sie einmal von russischen Ermittlern zwei Stunden lang speziell zu Trickbot verhört worden sei, bevor sie entlassen wurde. Dennoch schien sich die Person immer noch sicher zu fühlen, dass sie Vasovic innerhalb der russischen Grenzen ungestraft bedrohen könnte. „Niemand wird nach Amerika geschickt“, prahlten sie. „Kein Risiko hier.“