TrickBot y Conti

Estados Unidos y el Reino Unido han sancionado a once ciudadanos rusos asociados con las operaciones de cibercrimen de ransomware TrickBot y Conti.

La operación de malware TrickBot se lanzó en 2015 y se centró en robar credenciales bancarias. Sin embargo, con el tiempo, se convirtió en un malware modular que proporcionó acceso inicial a redes corporativas para otras operaciones de ciberdelito, como las operaciones de ransomware Ryuk y, más tarde, Conti .

Después de numerosos intentos de eliminación por parte del gobierno de EE. UU., la banda de ransomware Conti tomó el control de la operación TrickBot y su desarrollo, usándolo para mejorar malware más avanzado y sigiloso, como BazarBackdoor y Anchor.

Sin embargo, después de que Rusia invadió Ucrania, un investigador ucraniano filtró las comunicaciones internas de la banda de ransomware Conti en lo que se conoce como Conti Leaks.

Poco después, otro individuo desconocido, bajo el apodo de TrickLeaks , comenzó a filtrar información sobre la operación TrickBot, ilustrando aún más los vínculos entre los dos grupos.

En última instancia, estas filtraciones llevaron al cierre de la operación de ransomware Conti , que ahora se ha dividido en muchas otras operaciones de ransomware, como Royal, Black Basta y ZEON.

Sancionados los miembros de Conti y TrickBot

Hoy, once miembros de la operación TrickBot y Conti fueron sancionados por los gobiernos de Estados Unidos y el Reino Unido por actividades de cibercrimen que llevaron al robo de 180 millones de dólares en todo el mundo.

«La NCA evalúa que el grupo fue responsable de extorsionar al menos 180 millones de dólares a víctimas en todo el mundo, y al menos 27 millones de libras a 149 víctimas del Reino Unido. Los atacantes buscaban atacar hospitales, escuelas, autoridades locales y empresas del Reino Unido», se lee en un anuncio de la Agencia Nacional contra el Crimen del Reino Unido.

El Departamento del Tesoro de Estados Unidos también anunció hoy las sanciones, advirtiendo que algunos miembros del grupo Trickbot están asociados con los servicios de inteligencia rusos y sus actividades están alineadas con los intereses del país.

«Los objetivos de hoy incluyen actores clave involucrados en la gestión y adquisiciones del grupo Trickbot, que tiene vínculos con los servicios de inteligencia rusos y ha apuntado al gobierno y a las empresas estadounidenses, incluidos hospitales», anunció el Departamento del Tesoro estadounidense .

«Durante la pandemia de COVID-19, el grupo Trickbot apuntó a muchos proveedores de atención médica y de infraestructura crítica en los Estados Unidos».

Estos anuncios coinciden con la revelación de las acusaciones contra nueve personas en relación con las operaciones de malware Trickbot y ransomware Conti, que probablemente se anunciarán más tarde hoy.

A continuación se muestran las once personas sancionadas por el Reino Unido y Estados Unidos, todas ellas consideradas ciudadanos rusos.

Estas sanciones se suman a las siete miembros de TrickBot/Conti sancionados en febrero .

Como parte de estas sanciones, todas las organizaciones del Reino Unido y EE. UU. tienen prohibido realizar transacciones financieras con estas personas, incluido el pago de demandas de rescate.

Dado que muchos de los miembros del ransomware Conti ahora están involucrados en otras operaciones de ransomware, esto creará una pendiente resbaladiza para las organizaciones y empresas negociadoras de ransomware, que ya no pueden realizar pagos de rescate sin enfrentar los riesgos asociados con la violación de las regulaciones de la OFAC .

En el pasado, las sanciones provocaron la caída, o al menos un cambio de nombre, de las operaciones de ransomware después de que las empresas negociadoras se negaran a realizar pagos a las bandas sancionadas.

Estados Unidos ha sancionado anteriormente a numerosas personas por su participación en operaciones de ransomware, incluidos CryptoLocker , SamSam , WannaCry , Evil Corp , REvil y BlackShadow/Pay2Key.

Fuente y redacción: bleepingcomputer.com

Compartir