Осенью 2020 года в нескольких медицинских учреждениях США произошли сбои в работе из-за вредоносного программного обеспечения Trickbot. Целью хакеров было заставить больницы, занятые реагированием на пандемию Covid-19, быстро платить выкупы.

Интересно Apple наградила хакера рекордной суммой за успешный слом камеры Mac

Переписка Trickbot

В руках журналистов Wired оказалась переписка хакеров, которую они вели в то время. Из нее узнали:

  • Основу Trickbot составляет команда из шести хакеров.
  • У каждого есть своя специализация, например, управление командами программистов или руководство развертыванием программ-вымогателей.
  • Во главе организации стоит некто по прозвищу "Штерн".
  • Член группы по прозвищу "Профессор" возглавляет большую часть работы по развертыванию программ-вымогателей.
  • До конца сентября 2020 года планировалось создать 6 офисов на 50-80 человек.
  • Предположительно, группировка собиралась открыть их в Санкт-Петербурге.
  • Судя по переписке между "Штерном" и другим членом команды "Таргетом", в середине 2020 года группа имела два офиса – основной и для обучения.
  • Группа как минимум обсуждала сотрудничество с теми, кто стоит за программой-вымогателем Ryuk, которая в 2020 году атаковала больницы Бруклина и Вермонта.
  • Также в переписке упоминалась хакерская группа Cozy Bear, которая "прорабатывала список" потенциальных целей в период пандемии.
  • В прошлом году хакеры инвестировали более 20 миллионов долларов в свою инфраструктуру и развитие организации.

По текущим оценкам, команда насчитывает от 100 до 400 человек, что делает ее одной из крупнейших киберпреступных групп, действующих сегодня в мире. Ранее Минюст США предъявил обвинения двум членам группировки – 55-летней россиянке Алле Витте, которая скрывалась под прозвищем "Макс" и Владимиру Дунаеву. Новых членов группировки, как предполагают, привлекают через вакансии на форумах даркнета и на открытых русскоязычных вебсайтах для фрилансеров.

С начала 2022 года Trickbot снова начала активизироваться. В начале года ФБР официально связало использование программы-вымогателя Diavol с деятельностью группы Trickbot.