Паук-волшебник

Российская киберпреступная организация

Wizard Spider , также известная как Trickbot , DEV-0193 , UNC2053 или Periwinkle Tempest , ^[1] была киберпреступной группой, базирующейся в Санкт-Петербурге и его окрестностях в России . ^{[2] [3] [4]} Некоторые участники могут находиться на Украине . ^[3] По оценкам, их насчитывается около 80, некоторые из них могут не знать, что они работают на преступную организацию. ^{[2] [5]}

Группа была целью Европола , Интерпола , ФБР , а также Национального агентства по борьбе с преступностью в Соединенном Королевстве . ^[2]

История

В 2018 году группы начали использовать программы-вымогатели Trickbot , Ryuk и Conti в качестве своих основных инструментов. ^[2]

Они также разработали шпионское программное обеспечение Sidoh, которое только собирает информацию и не требует за нее выкупа. ^{[3] [6]}

В 2020 году их программное обеспечение заразило три медицинских учреждения в Миннесоте, лишив персонал доступа к компьютерам. ^[7]

В 2020 году судебные постановления были использованы для попытки закрыть серверы управления и контроля банд . ^{[7] [8]}

К началу февраля 2022 года произошла утечка некоторых внутренних сообщений группы. ^[9]

В конце февраля 2022 года группа изначально поддержала российское вторжение в Украину . ^{[10] [11]} В ответ на это произошли дальнейшие утечки информации анонимным лицом в поддержку Украины. ^{[12] [13] [14]}

В конечном итоге серверы групп были закрыты в 2022 году. ^{[7] [15]}

В феврале 2023 года государственный секретарь США Энтони Блинкен объявил, что США и Великобритания ввели санкции против семи человек за предполагаемое распространение вредоносных программ Conti, Ryuk и Trickbot. ^[16] Им были введены запреты на поездки, их активы были арестованы, а американским и британским компаниям и гражданам запрещено вести с ними какой-либо бизнес. ^[16] Их звали Виталий Ковалев, Валерий Седлецкий, Валентин Карягин, Максим Михайлов, Дмитрий Плешевский, Михаил Искрицкий и Иван Вахромеев. ^[16] Кроме того, любые иностранные банки, которые заведомо предоставляют этим людям значительные услуги, также могут быть подвергнуты санкциям. ^[16]

В сентябре 2023 года США и Великобритания ввели санкции против еще 11 человек, связанных с Wizard Spider. ^[7] Их активы в США и Великобритании будут арестованы, а на них будут наложены запреты на поездки. ^[7] Wizard Spider был связан с российской разведкой американским правительством. ^[7] Названы следующие люди:

Были обнародованы и другие обвинительные заключения, в том числе одно в Южной Калифорнии против Максима Галочкина, по трем пунктам обвинения во взломе и использовании Conti в больницах Scripps Health. ^[7]

По состоянию на октябрь 2024 года он был расформирован. ^[17]

Modus operandi

PRODAFT написал технический отчет, описывающий их атаки и организацию. Атаки обычно начинаются с отправки большого количества спама целям, чтобы обманом заставить жертв загрузить вредоносное ПО. Они используют вредоносное ПО Qbot и SystemBC, а также пишут свое собственное. Отдельная команда определяет ценные цели и использует Cobalt Strike для атаки на них. Если они получают контроль над системой, они запускают программу-вымогатель. ^[18]

Они одновременно перевели биткоины от атак вирусов-вымогателей Ryuk и Conti на свои собственные кошельки, что подразумевает, что они осуществляют несколько атак с использованием различных вредоносных программ. ^[3]

Они очень заботятся о безопасности и не размещают открытую рекламу в даркнете . Они будут работать или продавать доступ только тем преступникам, которым доверяют. Известно, что они принижают своих жертв через сайт утечки. ^[2] Сайт утечки также используется для публикации украденных ими данных. ^[3]

Разведывательные службы утверждают, что группа не атакует цели в России, а ключевые фигуры не выезжают за пределы страны из-за страха быть арестованными. ^{[2] [3]} The Irish Times сообщает, что программное обеспечение Wizard Spider запрограммировано на самоудаление, если оно обнаруживает, что система использует русский язык или если система имеет IP-адрес в бывшем Советском Союзе . ^[3] Однако исследование PRODAFT показало, что большинство машин, зараженных SystemBC, находятся в России (20,5%). ^[18]

Россию подозревают в терпимости к Wizard Spider и даже в оказании им помощи. ^[3]

Предполагаемые нападения

Их подозревают в кибератаке на Службу здравоохранения Ирландии . [ ^{19] [2]} Это крупнейшая известная атака на компьютерную систему службы здравоохранения. ^[3]

Ключевые фигуры подозреваются в причастности к интернет-атакам с использованием программного обеспечения Dyre. ^[2]

Партнеры

Они связаны с UNC1878, TEMP.MixMaster и Grim Spider. ^[5]

Согласно отчету Джона Ди Маджио под названием Ransom Mafia: Анализ первого в мире картеля программ-вымогателей, эта группа является частью преступного сообщества, известного как Ransom Cartel или Maze Cartel . ^[3] Они являются крупнейшей из действующих в картеле группировок. ^{[3] [6]} Другими членами являются: TWISTED SPIDER, VIKING SPIDER, банда LockBit и банда SunCrypt. ^[3] Все они используют программы-вымогатели для вымогательства денег. ^{[3] [6]} С тех пор SunCrypt прекратила свое существование. ^[6]

Авторы отчета PRODAFT обнаружили, что Wizard Spider иногда делал резервное копирование данных на сервер и что сервер содержал данные из систем, которые также были атакованы REvil , хотя авторы не смогли сделать вывод, какая из двух групп забрала данные. ^[18]

Ссылки

1. "Как Microsoft называет субъектов угроз". Microsoft . Получено 21 января 2024 г. .
2. Рейнольдс, Пол (18 мая 2021 г.). «Wizard Spider»: кто они и как они действуют?». RTÉ News . Получено 18 мая 2021 г.
3. Лалли, Конор (18 мая 2021 г.). «Профиль Wizard Spider: Подозреваемая банда, стоящая за атакой HSE, является частью первого в мире киберкартеля». The Irish Times . Получено 19 мая 2021 г.
4. Берджесс, Мэтт (1 февраля 2022 г.). «Внутри Trickbot, печально известной российской банды вымогателей». Wired . Получено 15 февраля 2022 г.
5. "Mapping To Wizard Spider". MITRE Shield . Mitre Corporation . Архивировано из оригинала 28 января 2021 г. Получено 18 мая 2021 г.{{cite web}}: CS1 maint: неподходящий URL ( ссылка )
6. Ди Маджио, Джон. «Ransom Mafia — анализ первого в мире картеля по производству программ-вымогателей». Analyst1 . Получено 19 мая 2021 г.
7. Лайонс, Джессика (7 сентября 2023 г.). "США, Великобритания вводят санкции против большего числа россиян, связанных с Trickbot". The Register . Получено 2 октября 2024 г.
8. Корфилд, Гарет (12 октября 2020 г.). «Microsoft и приятели используют закон США о товарных знаках, чтобы уничтожить вредоносную сеть Trickbot». The Register . Получено 2 октября 2024 г.
9. Берджесс, Мэтт (1 февраля 2022 г.). «Внутри Trickbot, печально известной российской банды вымогателей». Wired . Получено 2 октября 2024 г.
10. Райхерт, Коринн (25 февраля 2022 г.). «Conti Ransomware Group предупреждает о возмездии, если Запад предпримет кибератаку на Россию». CNET . Получено 2 октября 2024 г.
11. Бинг, Кристофер (25 февраля 2022 г.). «Российская группа по разработке вирусов-вымогателей Conti предупреждает врагов Кремля». Reuters . Получено 2 октября 2024 г.
12. Корфилд, Гарет (28 февраля 2022 г.). «Утечка 60 000 сообщений банды вымогателей Conti». The Register . Получено 2 октября 2024 г.
13. Хамфрис, Мэтью (28 февраля 2022 г.). «Поддержка России дала обратный эффект, поскольку утечка внутренних чатов банды-вымогателя Conti». PCMag . Получено 2 марта 2022 г.
14. Фэйф, Корин (28 февраля 2022 г.). «Группа вымогателей заплатила цену за поддержку России». The Verge . Получено 2 октября 2024 г.
15. «Что-то странное происходит с Trickbot». Intel 471. 24 февраля 2022 г. Получено 2 октября 2024 г.
16. Лайонс, Джессика (10 февраля 2023 г.). "Conti, Ryuk, Trickbot malware". The Register . Получено 2 октября 2024 г. .
17. Джонс, Коннор (1 октября 2024 г.). «Раскрыты глубокие связи Evil Corp с Россией и нападениями на членов НАТО». The Register . Получено 1 октября 2024 г.
18. Берт, Джефф (18 мая 2022 г.). «Познакомьтесь с Wizard Spider, многомиллионной бандой, стоящей за вредоносным ПО Conti и Ryuk». The Register . Получено 20 мая 2022 г.
19. Молони, Шонэн; Веклер, Адриан (17 мая 2021 г.). «Эксперты по кибербезопасности охотятся за скрытыми хакерами во всех правительственных департаментах, поскольку российские хакеры нацелились на здравоохранение». Irish Independent . Получено 18 мая 2021 г.

Внешние ссылки

• Углубленный анализ Wizard Spider Group — отчет PRODAFT, 16 мая 2022 г.