آلمان هویت رهبر گروههای باجافزاری Conti و TrickBot را افشا کرد.
دفتر فدرال پلیس جنایی آلمان (Bundeskriminalamt یا BKA) اعلام کرده است که فردی با نام Vitaly Nikolaevich Kovalev، تبعه ۳۶ ساله روسیه، رهبر گروههای سایبری TrickBot و Conti بوده است. به گفته BKA، این فرد با نام مستعار Stern شناخته میشود.
«این شخص مظنون به بنیانگذاری گروه TrickBot، که با عنوان Wizard Spider نیز شناخته میشود، است.»
این بیانیه پس از دور جدیدی از عملیاتهای توقیف و پیگردهای قضایی در چارچوب عملیات بینالمللی Operation Endgame منتشر شده که زیرساختهای بدافزاری و عوامل تهدید مرتبط با آنها را هدف قرار داده است.
BKA در ادامه اعلام کرده است که این گروه از بدافزار TrickBot و سایر انواع بدافزار نظیر Bazarloader، SystemBC، IcedID، Ryuk، Conti و Diavol برای اجرای حملات خود استفاده میکرده است.
اعلام وضعیت تحت تعقیب بینالمللی
در حال حاضر، Kovalev در آلمان نیز تحت پیگرد است. یک Red Notice توسط Interpol برای وی صادر شده که در آن وی به عنوان رهبر یک سازمان جنایی ناشناس متهم شده است.
با این حال، این نخستین باری نیست که نهادهای قانونی Kovalev را بهخاطر فعالیتهای سایبری تحت تعقیب قرار میدهند. در فوریه ۲۰۲۳، وی یکی از هفت شهروند روسی بود که توسط ایالات متحده به دلیل ارتباط با گروههای TrickBot و Conti مورد تحریم و پیگرد قضایی قرار گرفت.
در آن زمان، او تنها بهعنوان یکی از چهرههای ارشد گروه TrickBot معرفی شده بود و از نامهای مستعار “Bentley”، “Bergen”، “Alex Konor” و “Ben” استفاده میکرد.
افشاگریهای TrickLeaks و ContiLeaks
تحریمها و پیگردهای پیشین پس از افشای گسترده اطلاعات اعضای TrickBot و Conti در قالب نشتهایی با عنوان TrickLeaks و ContiLeaks رخ داد.
ContiLeaks شامل مکاتبات داخلی، کد منبع و ساختار سازمانی گروه Conti بود، در حالی که TrickLeaks حتی یک گام فراتر رفته و هویتها، حسابهای آنلاین و اطلاعات شخصی اعضای TrickBot را در توییتر منتشر کرد.
این گفتگوهای درونی نشان داد که Kovalev با نام مستعار Stern، رهبر اصلی عملیات TrickBot و نیز گروههای باجافزاری Ryuk و Conti بوده است. طبق محتوای چتها، سایر اعضای گروه برای دریافت تأییدیه جهت انجام حملات یا حتی استخدام وکیل برای اعضای بازداشتشده، مستقیماً به Stern مراجعه میکردهاند.
فروپاشی و مهاجرت اعضای Conti
افشاگریهای فوقالذکر به تسریع در تعطیلی گروه Conti منجر شد. بسیاری از اعضای آن یا به عملیاتهای دیگر ملحق شدند یا گروههای جدیدی نظیر Royal، Black Basta، BlackCat، AvosLocker، Karakurt، LockBit، Silent Ransom، DagonLocker و ZEON را ایجاد کردند.
ساختار سازمانی و خسارات
طبق اعلام BKA:
«بر اساس تحقیقات، در مقاطعی، گروه TrickBot بیش از ۱۰۰ عضو فعال داشته است. این گروه بهشکل سازمانیافته، سلسلهمراتبی و مبتنی بر پروژه و سوددهی فعالیت میکند.»
«گروه مذکور مسئول آلودهسازی صدها هزار سیستم در آلمان و سایر نقاط جهان است و از طریق فعالیتهای غیرقانونی خود، مبالغی در محدوده چند صد میلیون یورو کسب کرده است. قربانیان شامل بیمارستانها، نهادهای عمومی، شرکتها، سازمانهای دولتی و کاربران شخصی بودهاند.»
محل اقامت و درخواست اطلاعات
در حال حاضر، مکان دقیق Vitaly Kovalev مشخص نیست، اما پلیس آلمان معتقد است که وی در روسیه اقامت دارد. BKA از عموم مردم درخواست کرده است تا هرگونه اطلاعاتی درباره حسابهای آنلاین، کانالهای ارتباطی یا نشانیهای احتمالی این فرد را در اختیار نهادهای مسئول قرار دهند.