Die Vereinigten Staaten Finanzministerium und Außenministerium des Vereinigten Königreichs angekündigt heute, dass sie haben sanktioniert 11 Personen wegen angeblicher Beteiligung an der Cyberkriminellenbande Trickbot. Das US-Justizministerium hat außerdem Anklagen gegen neun Personen aufgehoben, die angeblich mit Trickbot und seiner Schwesterorganisation Conti in Verbindung stehen. Sieben dieser neun stehen auch auf der heutigen Sanktionsliste.
Die Strafverfolgungsbehörden der USA und des Vereinigten Königreichs haben in Zusammenarbeit mit Beamten auf der ganzen Welt in den letzten Jahren konzertierte Anstrengungen unternommen, um Cyberkriminalität abzuschrecken – insbesondere Ransomware-Angriffe und solche, die von in Russland ansässigen Akteuren durchgeführt werden. Und Trickbot, eine berüchtigte und produktive Bande, war wiederholt ein konkretes Ziel dieser Aktionen. Im Februar gaben die USA und Großbritannien bekannt Sanktionen gegen sieben mutmaßliche Trickbot-Akteure und eine Anklage gegen sie.
Die neue Tadelsrunde betrifft mutmaßliche Trickbot-Mitglieder, denen vorgeworfen wird, als Programmierer und Administratoren für die Gruppe zu fungieren, sowie leitende Angestellte, den Leiter des Entwicklerteams und einen Personal- und Finanzmanager. In den Sanktionen wird auch der mutmaßliche Testleiter von Trickbot für die Malware und die technische Infrastruktur der Bande genannt. Diese Person, Maksim Galochkin, nennt sich unter anderem Bentley. WIRED identifizierte Galochkin letzte Woche im Rahmen einer umfassenden Untersuchung von Trickbot und seinen Operationen.
Das Justizministerium gab heute drei Anklagen gegen Galochkin bekannt. Eine am 15. Juni im Nordbezirk von Ohio eingereichte Klage wirft ihm und zehn weiteren mutmaßlichen Trickbot-Mitgliedern „Verschwörung zur Verwendung der Trickbot-Malware zum Diebstahl von Geld und persönlichen und vertraulichen Informationen von ahnungslosen Opfern, darunter Unternehmen und Finanzinstituten mit Sitz in den Vereinigten Staaten,“ vor Staaten und auf der ganzen Welt, beginnend im November 2015.“ Dieser Zeitplan bedeutet, dass sich die Anklage im Wesentlichen auf alle Trickbot-Aktivitäten seit der Gründung der Gruppe bezieht.
Eine am 12. Juni eingereichte Anklageschrift des Middle District of Tennessee wirft Galochkin und drei weiteren Personen den Einsatz der Conti-Ransomware bei Angriffen auf „Unternehmen, gemeinnützige Organisationen und Regierungen in den Vereinigten Staaten“ zwischen 2020 und Juni 2022 vor Der südliche Bezirk von Kalifornien erhebt am 14. Juni Anklage gegen Galochkin im Zusammenhang mit dem Ransomware-Angriff von Conti auf Scripps Health am 1. Mai 2021.
„Die heutige Ankündigung zeigt unser anhaltendes Engagement, die abscheulichsten Cyberkriminellen vor Gericht zu bringen – diejenigen, die es sich zur Aufgabe gemacht haben, der amerikanischen Öffentlichkeit, unseren Krankenhäusern, Schulen und Unternehmen Schaden zuzufügen“, sagte FBI-Direktor Christopher Wray in einer Erklärung am Donnerstag. „Cyberkriminelle wissen, dass wir alle uns zur Verfügung stehenden rechtmäßigen Mittel einsetzen werden, um sie zu identifizieren, sie unermüdlich zu verfolgen und ihre kriminellen Aktivitäten zu unterbinden. Gemeinsam mit unseren Partnern auf Bundes- und internationaler Ebene werden wir durch gemeinsame Operationen weiterhin Kosten verursachen, egal wo diese Kriminellen versuchen, sich zu verstecken.“
Für die weltweiten Strafverfolgungsbehörden war es schwierig, Fortschritte bei der Abschreckung von Cyberkriminalität zu erzielen, insbesondere wenn die Akteure ihren Sitz in Ländern wie Russland haben, die es ihnen ermöglichen, ungestraft zu operieren. Unabhängige Forscher sagen jedoch, dass die Auferlegung öffentlicher Rechenschaftspflicht sowohl Auswirkungen auf den Einzelnen als auch auf die breitere Kriminalitätslandschaft hat.
Cyberkriminelle „glauben oft, dass sie anonym Cyberangriffe gegen Unternehmen und Einzelpersonen durchführen können“, sagt Landon Winkelvoss, Vizepräsident für Forschung beim Digital-Intelligence-Unternehmen Nisos, das eine Studie durchgeführt hat detaillierte Untersuchung von Bentleys realer Identität auf Anfrage von WIRED. Aber „sie alle machen Fehler und die Natur ihrer Verbrechen erfordert, dass ihr digitaler Fußabdruck in der Wildnis ist.“
Winkelvoss stellt fest, dass Cyberkriminelle zwar Strategien entwickelt haben, um ihre Betriebssicherheit aufrechtzuerhalten und sich aus dem Rampenlicht herauszuhalten, ihre Bemühungen, unsichtbar zu bleiben, jedoch alles andere als narrensicher sind.
„Die Wiederverwendung von Command-and-Control-Infrastrukturservern und Selektoren wie E-Mail-Adressen und Telefonnummern ist oft der schnellste Return on Investment“, sagt Winkelvoss. „Unglücklicherweise ist die Enttarnung für sie dadurch relativ einfach, insbesondere wenn es um Strafverfolgungsbehörden und die Privatwirtschaft geht.“ [have] mehr öffentlich zugängliche Daten als sie.“