美國司法部今天在法庭上提審了一名拉脫維亞女程序員,她是Trickbot惡意軟件團隊的一員,在那裡她擔任程序員,編寫控制惡意軟件和在受感染電腦上部署勒索軟件的代碼。司法部在今天的一份新聞稿中說,55歲的阿拉·維特來自拉脫維亞,但居住在蘇里南的帕拉馬里博,於2月6日在佛羅里達州的邁阿密被捕。
美國官員說,以 “Max”為名上網的維特自2015年11月Trickbot惡意軟件團伙成立以來一直與該團伙合作,當時Dyre惡意軟件團伙的殘餘人員聚集在一起,創建並分發Dyre木馬的改進版,該版本後來被命名為Trickbot。
根據法庭文件,維特被確認為Trickbot惡意軟件背後的17名嫌疑人之一,據信自2015年以來,該軟件已經感染了全球數百萬台電腦。
美國調查人員說,維特操刀了 “與監測和跟蹤Trickbot惡意軟件的授權用戶有關的代碼的創建、控制和部署勒索軟件,從勒索軟件受害者那裡獲得付款,以及開發工具和協議來存儲從被Trickbot感染的受害者那裡偷來和流出的憑證。”
她在Trickbot團伙中的角色隨着惡意軟件的變化而變化,例如,從一個專註於從銀行賬戶竊取資金的經典銀行木馬變成了其他惡意軟件有效載荷(如勒索軟件操作)的加載器。
美國官員在一份有47項罪名的起訴書中對維特提出了19項指控。網絡安全專家的公開評論表明,維特沒有很好地隱藏自己的身份,甚至在她的個人網站上託管Trickbot惡意軟件的開發中版本。
維特是第一個被逮捕的Trickbot團伙的成員。美國官員表示,其他Trickbot嫌疑人仍在俄羅斯、白俄羅斯、烏克蘭和蘇里南逍遙法外。
2020年10月,美國官員對一個被稱為QQAAZZ的犯罪集團提出指控,該集團幫助Trickbot團伙洗白他們從受害者銀行賬戶中竊取的資金。同月,一個科技公司聯盟試圖搗毀Trickbot殭屍網絡。雖然Trickbot團伙的行動被中斷了幾周,但該殭屍網絡後來恢復了,並且至今仍在活動。
從歷史上看,Trickbot殭屍網絡是迄今為止最大和最成功的行動之一。它於2015年開始運作,此前Dyre惡意軟件團伙的成員在一系列高調的逮捕行動後分散開來,使該團伙的領導結構癱瘓。
Trickbot是作為一個替代方案而成立的,最初它延續了Dyre的做法,其操作者將大部分時間投入到電子郵件垃圾郵件活動中,旨在誘使用戶下載並在其計算機上安裝惡意軟件。
在其早期的歷史中,Trickbot是一個典型的銀行木馬,它感染了計算機,然後篡改用戶的瀏覽器,轉儲和竊取憑證,然後顯示 “網絡注入”,允許該團伙收集電子銀行憑證並與電子銀行賬戶實時互動。
然而,隨着銀行開始部署安全功能,使銀行木馬的生活更加困難,大約在2017年,Trickbot團伙跟隨當時活躍的其他惡意軟件團體,將他們的銀行木馬轉換成更簡單、更精簡的惡意軟件。Trickbot被稱為加載器(來自下載器)或投放器,它將繼續在垃圾郵件的幫助下感染受害者,但一旦它感染了主機,主要目的將是下載和安裝其他惡意軟件株系。
這樣,多年來,Trickbot團伙建立了一個巨大的殭屍網絡,並將其出售給其他犯罪集團。被稱為 “犯罪軟件即服務 “的Trickbot運營商允許客戶部署自己的惡意軟件,或創建專門的模塊,讓客戶為特定任務部署。
根據他們所感染的受害者,Trickbot惡意軟件經常被用來竊取銀行憑證、企業網絡密碼,讓詐騙者進入大公司,讓數據經紀人從企業網絡中竊取機密和敏感文件,甚至部署Ryuk和Conti等贖金軟件進行破壞性攻擊。Trickbot現在被認為是當今最危險的殭屍網絡之一,與Dridex、Qbot和IcedID一起活躍。
今天提交給維特的法庭文件經過大量編輯,隱藏了其他16名Trickbot運營商的名字,這表明美國官員已經知道了他們的身份,未來的逮捕和指控也必將隨之而來。