След ареста на DOJ на латвийския програмист Trickbot, експертите подчертават публично-частните усилия за борба с киберпрестъпността

В петък Министерството на правосъдието обяви, че е арестуван 55-годишната гражданка на Латвия Алла Вите, като я таксува, че е изиграла роля в „транснационална организация за киберпрестъпност“, която стоеше зад „Trickbot“, един от най-известните и широко използвани банкови троянски коне и инструменти за изкупване.

Сега Witte е изправена пред 19 различни обвинения, вариращи от компютърна измама до утежнена кражба на самоличност за ролята, която тя изигра в групата Trickbot, която помогна за разпространението на зловредния софтуер от Русия, Беларус, Украйна и Суринам. Групата е съставена от хора, които също са били замесени в рансъмуера Dyre, според обвинението.

Заместник генералният прокурор Лиза Монако, която ръководи новата работна група за изнудване и изнудване, заяви в изявление, че Trickbot е бил използван за заразяване на милиони компютри, събиране на банкови данни и доставка на рансъмуер на организации в САЩ, Европа и Индия.

Прокурорите твърдят, че от 2015 г. насам Witte е работил като разработчик на зловреден софтуер, за да „разработи и внедри цифров набор от инструменти за зловреден софтуер, използвани за насочване на бизнеса и лицата по целия свят за кражба и откуп“. Тя също е замесена лично в опит да принуди жертвата на откуп да плати на групата в биткойни в замяна на софтуер за дешифриране.

Тя пише код “свързан с контрола, внедряването и плащанията на рансъмуер”, според обвинителния акт, а също така предоставя код, който “наблюдава и проследява оторизирани потребители на злонамерения софтуер и разработва инструменти и протоколи за съхраняване на откраднати идентификационни данни за вход”.

Тя е обвинена в окръжен съд в Охайо и ѝ предстои 87 години затвор, ако бъде осъдена.

Вите беше едно от многото имена, изброени в обвинителния акт, но повечето имена на нейните съзаклятници бяха затъмнени, което показва, че предстоят още обвинения. Бандата използва Trickbot за кражба на идентификационни данни за онлайн банкиране, което след това дава на групата допълнителен достъп до номерата на кредитни карти на жертвите, имейли, пароли, дати на раждане, номера на социално осигуряване и адреси.

ZDNet съобщи, че Вите е бил арестуван в Маями преди четири месеца.

Експертите по киберсигурност заявиха, че случаят е пример за това как киберпрестъпниците могат да се сблъскат с последици, когато частни компании работят с правителството за справяне с атаките. Мнозина обвързаха обвинителния акт с останалите неотдавнашни действия на Белия дом и Министерството на правосъдието, за да не само помогнат на компаниите да ударят с рансъмуер, но и да наложат някои разходи на лоши актьори.

Чарлз Херинг, съосновател на фирмата за киберсигурност WitFoo, заяви, че това е първото „зряло“ сътрудничество между финансовия сектор и органите на реда, отбелязвайки, че доклад на ФБР от миналата година установява, че когато компаниите работят с тях, откраднатите средства се възстановяват 82 % на времето.

В понеделник ФБР обяви, че е успяло да възстанови повече от половината от колониалния тръбопровод за биткойни, изплатен на група за рансъмуер, която е изключила техните системи за дни миналия месец.

“Потенциалното наказание за този конкретен престъпник е десетилетия затвор. Това не само създава възпиране за пряко засегнатия престъпник, но и изпраща силно послание към други престъпници”, каза Херинг.

“Вторият мит, опроверган в това обвинение, е, че чуждестранните действащи лица са недосегаеми от правоприлагащите органи. Тъй като правителствата си сътрудничат за увеличаване на възпирането на киберпрестъпността, престъпниците ще намерят много малко убежища.”

Някои служители в сферата на киберсигурността заявиха, че този конкретен арест няма да допринесе малко за нарушаване на доходоносните операции за изкупване, но други отбелязват, че участниците в рансъмуера определено ще забележат.

Старшият директор по стратегията за сигурност на Cato Networks Etay Maor каза, че различното в случая е, че всъщност е арестуван разработчик на зловреден софтуер.

Обикновено, обясни Маор, правоприлагащите органи могат да задържат само мулета и съучастници на много ниско ниво, които работят в юрисдикцията на страната, така че арестуването на разработчици на зловреден софтуер обикновено е сложно.

“В миналото служителите на реда чакаха целите да отидат на почивка или да пристигнат в държава, която има споразумение за екстрадиция със САЩ. Това лице беше в Южна Америка, след което се премести във Флорида и Охайо, което изглежда нетипично”, каза Маор.

“Защо бихте отишли ​​в държава, която очевидно ви търси и рискувате да бъде арестуван? Разработчикът на зловреден софтуер винаги е нещо добро, но също така се надявам ФБР да има възможност да я интервюира и да научи повече за технически и лични операции на тези банди. Не всеки ден имате такъв шанс. “

Вицепрезидентът на New Net Technologies Дирк Шредер добави това Microsoft се опита да свали Trickbot миналата година и отбеляза, че заповедта за арест на Witte е от 13 август 2020 г., само няколко седмици преди Microsoft да обяви свалянето на 94% от командните и контролни сървъри на Trickbots.

Schrader каза също, че подробностите в обвинителния акт са пълни с информация за създаването на банди за рансъмуер, свързаната логистика и до каква продължителност ще отидат, за да имат възможно най-много жертви.

Грег Аке, старши изследовател на заплахи в Huntress, каза пред ZDNet, че сега изглежда има минимален праг на щетите, които могат да бъдат причинени от група за изкупване, преди федералното участие да стане сериозно.

“В крайна сметка изглежда, че престъпността не плаща за някои. Тъжната реалност е, че има много повече заплахи, отколкото има ресурси за тези криминални разследвания”, каза Аке.

“Има много повече, които никога не го правят и като такива не получават адекватните ресурси, необходими за пълно разследване и възпиране. Изчакването на федерална подкрепа може да е твърде късно за мнозина.”

Публикациите се превеждат автоматично с google translate

Източник: www.zdnet.com