آلمان هویت رهبر گروه‌های باج‌افزاری Conti و TrickBot را افشا کرد.

دفتر فدرال پلیس جنایی آلمان (Bundeskriminalamt یا BKA) اعلام کرده است که فردی با نام Vitaly Nikolaevich Kovalev، تبعه ۳۶ ساله روسیه، رهبر گروه‌های سایبری TrickBot و Conti بوده است. به گفته BKA، این فرد با نام مستعار Stern شناخته می‌شود.

«این شخص مظنون به بنیان‌گذاری گروه TrickBot، که با عنوان Wizard Spider نیز شناخته می‌شود، است.»

این بیانیه پس از دور جدیدی از عملیات‌های توقیف و پیگردهای قضایی در چارچوب عملیات بین‌المللی Operation Endgame منتشر شده که زیرساخت‌های بدافزاری و عوامل تهدید مرتبط با آن‌ها را هدف قرار داده است.

BKA در ادامه اعلام کرده است که این گروه از بدافزار TrickBot و سایر انواع بدافزار نظیر Bazarloader، SystemBC، IcedID، Ryuk، Conti و Diavol برای اجرای حملات خود استفاده می‌کرده است.

اعلام وضعیت تحت تعقیب بین‌المللی

در حال حاضر، Kovalev در آلمان نیز تحت پیگرد است. یک Red Notice توسط Interpol برای وی صادر شده که در آن وی به عنوان رهبر یک سازمان جنایی ناشناس متهم شده است.

با این حال، این نخستین باری نیست که نهادهای قانونی Kovalev را به‌خاطر فعالیت‌های سایبری تحت تعقیب قرار می‌دهند. در فوریه ۲۰۲۳، وی یکی از هفت شهروند روسی بود که توسط ایالات متحده به دلیل ارتباط با گروه‌های TrickBot و Conti مورد تحریم و پیگرد قضایی قرار گرفت.

در آن زمان، او تنها به‌عنوان یکی از چهره‌های ارشد گروه TrickBot معرفی شده بود و از نام‌های مستعار “Bentley”، “Bergen”، “Alex Konor” و “Ben” استفاده می‌کرد.

افشاگری‌های TrickLeaks و ContiLeaks

تحریم‌ها و پیگردهای پیشین پس از افشای گسترده اطلاعات اعضای TrickBot و Conti در قالب نشت‌هایی با عنوان TrickLeaks و ContiLeaks رخ داد.

ContiLeaks شامل مکاتبات داخلی، کد منبع و ساختار سازمانی گروه Conti بود، در حالی که TrickLeaks حتی یک گام فراتر رفته و هویت‌ها، حساب‌های آنلاین و اطلاعات شخصی اعضای TrickBot را در توییتر منتشر کرد.

این گفتگوهای درونی نشان داد که Kovalev با نام مستعار Stern، رهبر اصلی عملیات TrickBot و نیز گروه‌های باج‌افزاری Ryuk و Conti بوده است. طبق محتوای چت‌ها، سایر اعضای گروه برای دریافت تأییدیه جهت انجام حملات یا حتی استخدام وکیل برای اعضای بازداشت‌شده، مستقیماً به Stern مراجعه می‌کرده‌اند.

فروپاشی و مهاجرت اعضای Conti

افشاگری‌های فوق‌الذکر به تسریع در تعطیلی گروه Conti منجر شد. بسیاری از اعضای آن یا به عملیات‌های دیگر ملحق شدند یا گروه‌های جدیدی نظیر Royal، Black Basta، BlackCat، AvosLocker، Karakurt، LockBit، Silent Ransom، DagonLocker و ZEON را ایجاد کردند.

ساختار سازمانی و خسارات

طبق اعلام BKA:

«بر اساس تحقیقات، در مقاطعی، گروه TrickBot بیش از ۱۰۰ عضو فعال داشته است. این گروه به‌شکل سازمان‌یافته، سلسله‌مراتبی و مبتنی بر پروژه و سوددهی فعالیت می‌کند.»

«گروه مذکور مسئول آلوده‌سازی صدها هزار سیستم در آلمان و سایر نقاط جهان است و از طریق فعالیت‌های غیرقانونی خود، مبالغی در محدوده چند صد میلیون یورو کسب کرده است. قربانیان شامل بیمارستان‌ها، نهادهای عمومی، شرکت‌ها، سازمان‌های دولتی و کاربران شخصی بوده‌اند.»

محل اقامت و درخواست اطلاعات

در حال حاضر، مکان دقیق Vitaly Kovalev مشخص نیست، اما پلیس آلمان معتقد است که وی در روسیه اقامت دارد. BKA از عموم مردم درخواست کرده است تا هرگونه اطلاعاتی درباره حساب‌های آنلاین، کانال‌های ارتباطی یا نشانی‌های احتمالی این فرد را در اختیار نهادهای مسئول قرار دهند.