På fredag kunngjorde justisdepartementet at de arresterte den 55 år gamle lettiske statsborgeren Alla Witte og siktet henne for å ha spilt en rolle i “en transnasjonal nettkriminalitetsorganisasjon” som sto bak “Trickbot”, en av de mest kjente og mest brukte banktrojanere og løsepengerverktøy.
Witte står nå overfor 19 forskjellige anklager, alt fra datasvindel til grov identitetstyveri for den delen hun spilte i Trickbot-gruppen, som bidro til å spre skadelig programvare fra Russland, Hviterussland, Ukraina og Surinam. Gruppen var sammensatt av mennesker som også var involvert i Dyre-løsepenger, ifølge tiltalen.
Viseadvokatadvokat Lisa Monaco, som leder den nye Ransomware and Digital Extortion Task Force, sa i en uttalelse at Trickbot ble brukt til å infisere millioner av datamaskiner, høste banklegitimasjon og levere ransomware til organisasjoner over hele USA , Europa og India.
Påtalemyndigheter hevdet at siden 2015 jobbet Witte som malwareutvikler for å “utvikle og distribuere en digital pakke med malwareverktøy som ble brukt til å målrette bedrifter og enkeltpersoner over hele verden for tyveri og løsepenger.” Hun ble også personlig implisert i et forsøk på å tvinge et løsepenger til å betale gruppen i Bitcoin i bytte mot en dekrypteringsprogramvare.
Hun skrev kode “relatert til kontroll, distribusjon og betaling av ransomware”, ifølge tiltalen, og ga også kode som “overvåket og sporet autoriserte brukere av skadelig programvare og utviklet verktøy og protokoller for å lagre stjålet påloggingsinformasjon. ”
Hun ble tiltalt i en tingrett i Ohio og får opptil 87 års fengsel hvis hun ble dømt.
Witte var et av mange navn oppført i tiltalen, men de fleste av hennes medsammensvorne navn ble svart ut, noe som tyder på at flere tiltale kommer. Gjengen brukte Trickbot for å stjele legitimasjon fra nettbanken, som deretter ga gruppen ytterligere tilgang til ofrenes kredittkortnumre, e-post, passord, fødselsdato, personnummer og adresser.
ZDNet rapporterte at Witte var arrestert i Miami for fire måneder siden.
Sikkerhetseksperter sa at saken var et eksempel på hvordan nettkriminelle kan få konsekvenser når private selskaper samarbeider med regjeringen om å takle angrep. Mange bundet tiltalen til de andre nylige handlingene fra Det hvite hus og justisdepartementet for ikke bare å hjelpe selskaper som ble rammet av løsepenger, men påføre dårlige skuespillere noen kostnader.
Charles Herring, medstifter av cybersikkerhetsfirma WitFoo, sa at det var det første “modne” samarbeidet mellom finanssektoren og rettshåndhevelse, og la merke til at en rapport fra FBI i fjor fant at når selskaper jobber med dem, blir stjålne midler gjenvunnet 82 % av tiden.
På mandag kunngjorde FBI at de var i stand til å gjenopprette mer enn halvparten av Bitcoin Colonial Pipeline som ble betalt til en ransomware-gruppe som stengte systemene sine i flere dager i forrige måned.
“Den potensielle straffen for denne spesifikke kriminelle er tiår i fengsel. Det skaper ikke bare avskrekk for den direkte berørte kriminelle, men sender også en sterk melding til andre kriminelle,” sa Herring.
“Den andre myten som er motbevist i denne tiltalen er at utenlandske aktører er uberørbare av lovhåndhevelse. Når regjeringer samarbeider om å øke avskrekkingen mot nettkriminalitet, vil kriminelle finne svært få tilfluktssteder.”
Noen cybersikkerhetsansvarlige sa dette arrestering vil ikke gjøre noe for å forstyrre lukrative ransomware-operasjoner, men andre bemerket at de som er involvert i ransomware, definitivt vil legge merke til det.
Cato Networks seniordirektør for sikkerhetsstrategi Etay Maor sa at det som var annerledes med denne saken var at en malwareutvikler faktisk ble arrestert.
Vanligvis, forklarte Maor, kan rettshåndhevelse bare pågripe muldyr og medhjelpere på veldig lavt nivå som opererer innenfor landets jurisdiksjon, så det er generelt komplisert å arrestere malwareutviklere.
“Tidligere ventet politimenn på at mål skulle reise på ferie eller ankomme til et land som har en utleveringsavtale med USA. Denne personen var i Sør-Amerika og flyttet deretter til Florida og Ohio, noe som virker utypisk,” sa Maor.
“Hvorfor vil du dra til et land som åpenbart leter etter deg og risikere arrestasjon? En malwareutvikler utenfor spillet er alltid en god ting, men jeg håper også at FBI har en sjanse til å intervju henne og lær mer om de tekniske og personlige operasjonene til disse gjengene. Det er ikke hver dag du har en sjanse som dette. “
Nye Net Technologies visepresident Dirk Schrader la til at Microsoft prøvde å ta ned Trickbot i fjor og bemerket at arrestordren for Witte er datert 13. august 2020, bare noen få uker før Microsoft kunngjorde fjerningen av 94% av Trickbots 'kommando og kontroll servere.
Schrader sa også at detaljene i tiltalen er fulle av informasjon om oppsettet av ransomware-gjenger, logistikken som er involvert, og i hvor lang tid de vil gå for å ha så mange ofre som mulig.
Greg Ake, senior trusselforsker ved Huntress, sa til ZDNet at det nå ser ut til å være en minimumsskade på skade som kan være forårsaket av en ransomware-gruppe før føderalt engasjement blir alvorlig.
“Til slutt ser det ut til at kriminalitet ikke betaler for noen. Den triste virkeligheten er at det er mange flere trusler enn det er ressurser for disse kriminelle etterforskningene,” sa Ake.
“Det er mange flere som aldri gjør det, og som sådan ikke får de tilstrekkelige ressursene de trenger for å fullstendig undersøke og avskrekke. Å vente på føderal støtte kan være for sent for mange.”
Relaterte emner:
Government – US Security TV Data Management CXO Data Centers 