• Санкции коснулись 11 российских кибербанд, атаковавших больницы и другую критически важную инфраструктуру
• Санкции предотвратят атаки программ-вымогателей и разоблачат злоумышленников, стоящих за ними.
• новые меры, принятые в скоординированных усилиях с Соединенными Штатами

Членам российской банды киберпреступников, стоящих за атаками с использованием программ-вымогателей Trickbot/Conti, которые включали взлом критической инфраструктуры и больниц во время пандемии COVID-19, сегодня (7 сентября) грозят новые санкции.

Одиннадцать киберпреступников, чья банда также угрожала тем, кто выступает против незаконного вторжения России в Украину, подверглись заморозке активов и запрету на поездки в рамках скоординированных усилий властей Великобритании и США по противодействию угрозе программ-вымогателей как в Великобритании, так и за рубежом. Министерство юстиции США (DOJ) одновременно раскрывает обвинительные заключения против семи лиц, фигурирующих сегодня в списках.

Национальное агентство по борьбе с преступностью ( NCA ), которое провело комплексное расследование в отношении этих лиц, подсчитало, что группа несет ответственность за вымогательство не менее 180 миллионов долларов США у жертв по всему миру и не менее 27 миллионов фунтов стерлингов у 149 жертв в Великобритании. Нападавшие стремились атаковать британские больницы, школы, местные органы власти и предприятия.

Лицами, указанными в Великобритании, являются:

• Андрей Жуйков был центральным действующим лицом группы и старшим администратором. Известен под онлайн-прозвищами «Защитник», «Диф» и «Адам».
• Максим Галочкин возглавил группу тестировщиков, отвечая за разработку, контроль и внедрение тестов. Известен под онлайн-прозвищами «Bentley», «Volhvb» и «Max17».
• Максим Руденский был ключевым членом группы Trickbot и руководил командой программистов. Известен под онлайн-прозвищами «Буза», «Сильвер» и «Мусорщик».
• Михаил Царев был менеджером среднего звена, который помогал группе с финансами и курировал функции управления персоналом. Известен под онлайн-прозвищами «Манго», «Франс» и «Кано».
• Дмитрий Путилин был связан с покупкой инфраструктуры Trickbot. Известен под онлайн-прозвищами «Град» и «Персонал».
• Максим Халиуллин был менеджером по персоналу группы. Он был связан с покупкой инфраструктуры Trickbot, включая приобретение виртуальных частных серверов (VPS). Известен под онлайн-прозвищем «Кагас».
• Разработчиком группы был Сергей Логунцов. Известен под онлайн-прозвищами «Бегемот», «Бегемот_Сан» и «Зулас».
• Александр Можаев входил в состав административной команды, отвечавшей за общие административные обязанности. Известен под онлайн-прозвищами «Зеленый» и «Рокко».
• Вадим Валиахметов работал программистом, в его обязанности входили проекты бэкдоров и загрузчиков. Известен под онлайн-прозвищами «Велдон», «Ментос» и «Вазм».
• Артем Куров работал программистом с обязанностями разработки в группе Trickbot. Известен под онлайн-прозвищем «Нанед».
• Михаил Чернов входил в группу внутренних коммунальных служб. Известен под онлайн-прозвищами «Bullet» и «m2686».

Эти действия были предприняты в координации с США, где эти ключевые киберпреступники также попали под санкции, и являются продолжением совместных усилий Великобритании и США по пресечению деятельности киберпреступников, наносящих большой вред, и наложению штрафов на них. По оценкам, санкции препятствуют возможности субъектов киберугроз монетизировать свою киберпреступную деятельность.

Министр иностранных дел Джеймс Клеверли сказал:

Эти киберпреступники преуспевают в анонимности, действуя в тени Интернета, чтобы нанести максимальный ущерб и вымогать деньги у своих жертв.

Наши санкции показывают, что они не могут действовать безнаказанно. Мы знаем, кто они и что они делают.

Раскрывая их личности, мы нарушаем их бизнес-модели и усложняем им задачу нападения на наших людей, наш бизнес и наши учреждения.

Эти лица, все граждане России, действовали вне досягаемости традиционных правоохранительных органов и скрывались за онлайн-псевдонимами и прозвищами, многие из которых сегодня раскрыты. Лишение их анонимности подрывает честность этих людей и их преступный бизнес, который угрожает безопасности Великобритании.

Некоторые из тех, кто сегодня подвергается санкциям, играли важную роль в группе. В число жертв входят высокопоставленные менеджеры и администраторы, а также два человека, Максим Халиуллин и Михаил Царев, которые занимались вербовкой и введением в должность новых членов.

Группа также была одной из первых, кто предложил поддержку вторжению России в Украину, поддерживая связи и получая задания от российских спецслужб.

Заместитель премьер-министра и государственный секретарь кабинета министров Оливер Дауден заявил:

Нацеливаясь на этих злонамеренных киберпреступников, которые, как известно, работают с некоторыми из наиболее разрушительных разновидностей программ-вымогателей, мы выявляем и разоблачаем тех, кто угрожает национальной безопасности Великобритании. Вместе с международными партнерами мы всегда будем предпринимать решительные действия для защиты Великобритании, ее народа и бизнеса.

Министр безопасности Том Тугендхат заявил:

Эти санкции демонстрируют, что Великобритания будет подавлять тех, кто пытается удержать британский бизнес и инфраструктуру с целью выкупа. Мы будем использовать наши правоохранительные органы, чтобы преследовать преступников и наказывать их за преступления.

У нас есть навыки и ресурсы, чтобы найти и разоблачить преступников, которые пытаются ограбить британские предприятия, школы и больницы.

Мы продолжим работать с нашими партнерами, такими как США, чтобы победить эти угрозы.

Генеральный директор по операциям NCA Роб Джонс сказал:

Эти санкции являются продолжением нашей кампании против международных киберпреступников.

Атаки этой группы программ-вымогателей нанесли значительный ущерб нашему бизнесу и лишили средств к существованию, а жертвам приходится сталкиваться с длительными последствиями финансовых потерь и потерь данных.

Эти преступники считали себя неприкасаемыми, но наше послание ясно: мы знаем, кто вы, и, работая с нашими партнерами, мы не остановимся в наших усилиях по привлечению вас к ответственности.

Генеральный директор Национального центра кибербезопасности ( NCSC ) Линди Кэмерон сказала:

Помимо этого последнего раунда санкций, я настоятельно рекомендую организациям активно препятствовать деятельности операторов программ-вымогателей, повышая их устойчивость в Интернете.

Программы-вымогатели по-прежнему представляют собой серьезную угрозу, с которой сталкивается Великобритания, и атаки могут иметь значительные и далеко идущие последствия.

NCSC опубликовал бесплатные и практические советы для организаций любого размера о том, как обеспечить надежную защиту своих сетей .

Сегодняшнее объявление о санкциях усиливает приверженность Великобритании борьбе с киберпреступниками. Они являются продолжением первых в истории совместных санкций Великобритании и США против участников программ-вымогателей, введенных в феврале этого года. Общее число членов группы, подвергшихся санкциям, теперь составляет 18.

Фон

• предоставление средств физическим лицам, например выплата выкупа, в том числе в виде криптоактивов, запрещено этими санкциями.
• организации должны иметь или должны внедрить надежные системы кибербезопасности и управления инцидентами для предотвращения и управления серьезными киберинцидентами.
• FCDO объявило о первой волне санкций и запуске британо-американской кампании скоординированных действий против участников программ-вымогателей 9 февраля 2023 года.
• Как было объявлено 29 августа 2023 года, международная операция, проведенная под руководством ФБР и с участием NCA , уничтожила вредоносное ПО Qakbot, которое заразило более 700 000 компьютеров по всему миру, включая Великобританию. Вредоносное ПО Qakbot было ключевым фактором, способствующим атакам программ-вымогателей, и использовалось в операциях Conti. Сегодняшнее включение в Великобританию и США новых лиц, причастных к Conti/Trickbot, представляет собой продолжающиеся усилия по выявлению и препятствованию действиям злоумышленников-вымогателей.