Les gouvernements britannique et américain ont sanctionné jeudi 11 individus soupçonnés de faire partie du célèbre gang de cybercriminalité TrickBot, basé en Russie.
« La Russie est depuis longtemps un refuge pour les cybercriminels, y compris le groupe TrickBot », a déclaré le département du Trésor américain, ajoutant qu’il avait « des liens avec les services de renseignement russes et qu’il avait ciblé le gouvernement américain et des entreprises américaines, notamment des hôpitaux ».
Les cibles des sanctions sont les administrateurs, les managers, les développeurs et les codeurs qui auraient apporté une aide matérielle dans ses opérations. Leurs noms et rôles sont les suivants –
- Andrey Zhuykov (alias Adam, Defender et Dif), administrateur principal
- Maksim Sergeevich Galochkin (alias Bentley, Crypt, Manuel, Max17 et Volhvb), développement et tests de logiciels
- Maksim Rudenskiy (alias Binman, Buza et Silver), chef d’équipe pour les codeurs
- Mikhail Tsarev (alias Alexander Grachev, Frances, Ivanov Mixail, Mango, Misha Krutysha, Nikita Andreevich Tsarev et Super Misha), ressources humaines et finances
- Dmitry Putilin (alias Grad and Staff), achat de l’infrastructure TrickBot
- Maksim Khaliullin (alias Kagas), responsable RH
- Sergey Loguntsov (alias Begemot, Begemot_Sun et Zulas), développeur
- Vadym Valiakhmetov (alias Mentos, Vasm et Weldon), développeur
- Artem Kurov (alias Naned), développeur
- Mikhail Chernov (alias Bullet et m2686), membre du groupe d’utilitaires internes
- Alexander Mozhaev (alias Green et Rocco), membre de l’équipe responsable des tâches administratives générales
Les preuves recueillies par la société de renseignement sur les menaces Nisos à la fin du mois dernier ont révélé que Galochkin « a changé son nom de Maksim Sergeevich Sipkin et qu’il a une dette financière importante à partir de 2022 ».
« Les individus, tous de nationalité russe, opéraient hors de portée des forces de l’ordre traditionnelles et se cachaient derrière des pseudonymes et des surnoms en ligne », a déclaré le gouvernement britannique. « La suppression de leur anonymat porte atteinte à l’intégrité de ces individus et de leurs activités criminelles qui menacent la sécurité du Royaume-Uni. »
C’est la deuxième fois en sept mois que les deux gouvernements imposent des sanctions similaires à plusieurs ressortissants russes pour leur affiliation aux syndicats de cybercriminalité TrickBot, Ryuk et Conti.
Cela coïncide également avec la révélation des actes d’accusation contre neuf accusés en lien avec les programmes malveillants Trickbot et Conti ransomware, comptant sept des personnes nouvellement sanctionnées.
Dmitriy Pleshevskiy, l’une des personnes sanctionnées en février 2023, a depuis nié toute implication dans le gang TrickBot, affirmant avoir utilisé le pseudonyme « Iseldor » en ligne pour effectuer des tâches de programmation non précisées en freelance.
« Ces tâches ne me semblaient pas illégales, mais c’est peut-être là que mon implication dans ces attaques entre en jeu », aurait déclaré Pleshevskiy à WIRED, qui a démasqué Galochkin comme l’un des membres clés de TrickBot après une enquête de plusieurs mois.
À ce jour, deux autres développeurs de TrickBot ont été appréhendés et inculpés aux États-Unis. Alla Witte, une ressortissante lettone, a plaidé coupable de complot en vue de commettre une fraude informatique et a été condamnée à 32 mois de prison en juin 2023. Un Russe nommé Vladimir Dunaev est actuellement en détention et attend son procès.
Evolution du cheval de Troie bancaire Dyre, TrickBot a débuté de manière similaire en 2016 avant d’évoluer vers une suite de logiciels malveillants flexible et modulaire qui permet aux acteurs malveillants de déployer des charges utiles de niveau supérieur telles que des ransomwares.
Le groupe de cybercriminalité, qui a réussi à survivre à un effort de démantèlement en 2020, a été absorbé par le cartel du ransomware Conti début 2022 et, comme en témoignent les rôles mentionnés ci-dessus, fonctionnait comme une entreprise légitime avec une structure de gestion professionnelle.
Conti a été officiellement dissoute en mai 2023 à la suite d’une vague de fuites deux mois plus tôt offrant un aperçu sans précédent des activités du groupe, déclenchées à leur tour par le soutien du groupe à la Russie dans la guerre de cette dernière contre l’Ukraine.
Les décharges anonymes, surnommées ContiLeaks et Astuces, ont surgi à quelques jours d’intervalle début mars 2022, entraînant la publication en ligne de quantités de données sur leurs discussions internes et leur infrastructure. Un compte antérieur nommé TrickBotLeaks qui a été créé dans X (anciennement Twitter) a été rapidement suspendu.
« Au total, il y a environ 250 000 messages contenant plus de 2 500 adresses IP, environ 500 adresses potentielles de portefeuille cryptographique et des milliers de domaines et d’adresses e-mail », a noté Cyjax en juillet 2022, faisant référence au cache des données de TrickBot.
Selon la National Crime Agency (NCA) du Royaume-Uni, le groupe aurait extorqué au moins 180 millions de dollars aux victimes dans le monde et au moins 27 millions de livres sterling à 149 victimes au Royaume-Uni.
Malgré les efforts continus visant à perturber les activités cybercriminelles russes au moyen de sanctions et d’inculpations, les acteurs de la menace continuent de prospérer, bien qu’ils opèrent sous des noms différents pour échapper à l’interdiction et exploitent des tactiques communes pour infiltrer leurs cibles.
