Kovalev, cunoscut și ca Sten și Ben, ar avea un portofel de criptomonede în valoare de 1 miliard de dolari.

Conform ziarului spaniol El Pais, Trickbot, un ransomware (n.red – un tip de software cu obiectivul principal de a infecta computerul sau sistemul unei victime, de a-i cripta fișierele sau de a bloca întregul sistem) a afectat 4% din companiile globale.  

Biroul Federal de Poliție Criminală din Germania (BKA) descrie gruparea ca având peste 100 de membri, operând într-un mod orientat spre profit. Grupul infracțional a câștigat sute de milioane de euro prin activități ilegale. Printre victime se numără agenții guvernamentale și spitale din SUA,  unități atacate în 2020.

Organizarea grupului 

Check Point Research, campanie de analiză a securității cibernetice, a dezvăluit detalii despre organizarea internă a grupului, care funcționează ca o companie de tehnologie. Kovalev este liderul, iar grupul are șefi de echipă și manageri de zonă. Angajații sunt plătiți în bitcoini și primesc bonusuri. Recrutarea se face prin dark web, dar și prin CV-uri furate.  

„Unii angajați nici măcar nu știu că lucrează pentru o bandă de infractori cibernetici”, a subliniat Check Point. 

Kovalev și alți 35 de suspecți, care au fost identificați în cadrul operațiunii Endgame, sunt acuzați că au dezvoltat Qakbot și Danabot, amenințări cibernetice majore.  După ani de investigații, ofițeri din SUA, Regatul Unit, Canada, Danemarca, Țările de Jos, Germania și Franța au reușit să identifice personajele-cheie din spatele acestor instrumente.

Qakbot, activ din 2007, este folosit pentru furtul de date și distribuirea de ransomware. Deși se credea că Qakbot a fost eliminat în 2023, o nouă versiune a apărut rapid.  Victima primește un e-mail aparent de la o instituție bancară cu un link de descărcare. După instalare, software-ul începe să realizeze tranzacții fără știrea utilizatorului.   

20 dintre suspecți au mandate internaționale de arestare 

Danabot, activ din 2018, este promovat sub formă de malware-as-a-service (n.red – un model de afaceri infracțional în care dezvoltatorii de malware oferă acces la software malițios și infrastructura aferentă contra cost), accesibil infractorilor fără cunoștințe avansate.

În plus, Danabot a fost utilizat într-un atac de tip DDoS (n.red – atac care întrerupe accesul la resursele online ale companiilor, blocându-le printr-un număr mare de cereri de tip „junk”). împotriva Ministerului ucrainean al Apărării la puțin timp după invazia rusă.  

„Acesta a fost utilizat atât pentru fraude financiare, cât și pentru a lansa atacuri în numele intereselor statului rus. Este un bun exemplu al modului în care o infrastructură infracțională poate fi utilizată atât pentru a obține câștiguri financiare, cât și pentru a urmări obiective geopolitice”, a spus Adam Meyers, director de operațiuni privind amenințările la CrowdStrike.

Conform sursei citate, rețeaua de hackeri a fost dezmembrată. Dintre cei 36 de suspecți, 20 au mandate internaționale de arestare, iar ceilalți 16 se confruntă cu acuzații din partea Departamentului de Justiție al SUA. Totuși, majoritatea locuiesc în Rusia, unde extrădarea este dificilă.

Sursa: libertatea.ro