Am Freitag gab das Justizministerium bekannt, dass es die 55-jährige lettische Staatsbürgerin Alla Witte festgenommen hat, weil sie eine Rolle in “einer transnationalen Cyberkriminalitätsorganisation” gespielt hat, die hinter “Trickbot” stand, einer der bekanntesten und am weitesten verbreiteten Banking-Trojaner und Ransomware-Tools.
Witte sieht sich nun 19 verschiedenen Anklagen gegenüber, die von Computerbetrug bis hin zu schwerem Identitätsdiebstahl für ihre Rolle in der Trickbot-Gruppe reichen, die zur Verbreitung der Malware aus Russland, Weißrussland, der Ukraine und Surinam beigetragen hat. Die Gruppe bestand laut Anklage aus Personen, die auch an der Dyre-Ransomware beteiligt waren.
Die stellvertretende Generalstaatsanwältin Lisa Monaco, die die neue Task Force für Ransomware und digitale Erpressung leitet, sagte in einer Erklärung, dass Trickbot verwendet wurde, um Millionen von Computern zu infizieren, Bankdaten zu sammeln und Ransomware an Unternehmen in den USA zu liefern , Europa und Indien.
Die Staatsanwälte behaupteten, Witte habe seit 2015 als Malware-Entwickler gearbeitet, um “eine digitale Suite von Malware-Tools zu entwickeln und einzusetzen, die verwendet werden, um Unternehmen und Einzelpersonen auf der ganzen Welt gegen Diebstahl und Lösegeld zu zielen”. Sie war auch persönlich in den Versuch verwickelt, ein Lösegeldopfer zu zwingen, die Gruppe im Austausch für eine Entschlüsselungssoftware in Bitcoin zu bezahlen.
Sie schrieb Code “im Zusammenhang mit der Kontrolle, Bereitstellung und Zahlung von Ransomware”, so die Anklageschrift, und stellte auch Code zur Verfügung, der “autorisierte Benutzer der Malware überwacht und verfolgt und Tools und Protokolle entwickelt hat, um gestohlene Dateien zu speichern”. Anmeldedaten.”
Sie wurde vor einem Bezirksgericht in Ohio angeklagt und ihr drohen bei einer Verurteilung bis zu 87 Jahre Gefängnis.
Witte war einer von vielen Namen, die in der Anklageschrift aufgeführt waren, aber die Namen der meisten ihrer Mitverschwörer wurden geschwärzt, was darauf hindeutet, dass weitere Anklagen kommen. Die Bande benutzte Trickbot, um Online-Banking-Zugangsdaten zu stehlen, die der Gruppe dann weiteren Zugriff auf die Kreditkartennummern, E-Mails, Passwörter, Geburtsdaten, Sozialversicherungsnummern und Adressen der Opfer verschafften.
ZDNet berichtete, dass Witte vor vier Monaten in Miami festgenommen.
Cybersicherheitsexperten sagten, der Fall sei ein Beispiel dafür, wie Cyberkriminelle Konsequenzen haben können, wenn private Unternehmen mit der Regierung zusammenarbeiten, um Angriffe abzuwehren. Viele knüpften die Anklage an die anderen jüngsten Maßnahmen des Weißen Hauses und des Justizministeriums, um nicht nur Unternehmen zu helfen, die von Ransomware betroffen sind, sondern auch, um bösen Akteuren einige Kosten aufzuerlegen.
Charles Herring, Mitbegründer der Cybersicherheitsfirma WitFoo, sagte, es sei die erste “reife” Zusammenarbeit zwischen dem Finanzsektor und den Strafverfolgungsbehörden und stellte fest, dass ein Bericht des FBI aus dem letzten Jahr ergab, dass Unternehmen, die mit ihnen zusammenarbeiten, gestohlene Gelder zurückerhalten % der Zeit.
Am Montag gab das FBI bekannt, dass es mehr als die Hälfte der Bitcoin Colonial Pipeline wiederherstellen konnte, die an eine Ransomware-Gruppe gezahlt wurde, die ihre Systeme im letzten Monat tagelang heruntergefahren hat.
“Die potenzielle Strafe für diesen speziellen Kriminellen ist eine jahrzehntelange Gefängnisstrafe. Das schafft nicht nur Abschreckung für den direkt betroffenen Kriminellen, sondern sendet auch eine starke Botschaft an andere Kriminelle”, sagte Herring.
“Der zweite in dieser Anklageschrift widerlegte Mythos ist, dass ausländische Akteure von den Strafverfolgungsbehörden nicht berührt werden können. Da Regierungen zusammenarbeiten, um die Abschreckung gegen Cyberkriminalität zu erhöhen, werden Kriminelle nur sehr wenige Zufluchtsorte finden.”
Einige Cybersicherheitsbeamte sagten dies konkret Eine Verhaftung würde wenig dazu beitragen, lukrative Ransomware-Operationen zu stören, aber andere merkten an, dass diejenigen, die an Ransomware beteiligt waren, definitiv darauf aufmerksam würden.
Cato Networks Senior Director of Security Strategy Etay Maor sagte, dass der Unterschied in diesem Fall darin bestand, dass tatsächlich ein Malware-Entwickler festgenommen wurde.
Normalerweise, erklärte Maor, können die Strafverfolgungsbehörden nur Maulesel und sehr untergeordnete Komplizen festnehmen, die innerhalb der Gerichtsbarkeit des Landes tätig sind, so dass die Festnahme von Malware-Entwicklern im Allgemeinen kompliziert ist.
“In der Vergangenheit warteten Strafverfolgungsbeamte darauf, dass Ziele in den Urlaub fahren oder in einem Land ankommen, das ein Auslieferungsabkommen mit den USA hat. Diese Person war in Südamerika und zog dann nach Florida und Ohio, was untypisch erscheint”, sagte Maor.
“Warum sollten Sie in ein Land gehen, das offensichtlich nach Ihnen sucht, und eine Verhaftung riskieren? Ein Malware-Entwickler aus dem Spiel ist immer eine gute Sache, aber ich hoffe auch, dass das FBI eine Chance dazu hat interviewe sie und erfahre mehr über die technischen und persönlichen Operationen dieser Gangs. So eine Chance hast du nicht alle Tage.”
Dirk Schrader, Vice President von New Net Technologies, fügte hinzu, dass Microsoft letztes Jahr versucht habe, Trickbot auszuschalten, und stellte fest, dass der Haftbefehl gegen Witte vom 13. Server.
Schrader sagte auch, dass die Details in der Anklage voller Informationen über die Einrichtung von Ransomware-Gangs, die damit verbundene Logistik und wie lange sie gehen werden, um so viele Opfer wie möglich zu haben.
Greg Ake, Senior Threat Researcher bei Huntress, sagte gegenüber ZDNet, dass es jetzt eine Mindestgrenze für den Schaden zu geben scheint, der von einer Ransomware-Gruppe verursacht werden kann, bevor eine staatliche Beteiligung ernsthaft wird.
“Letztendlich scheint es so, als ob sich Kriminalität für manche nicht lohnt. Die traurige Realität ist, dass es viel mehr Bedrohungen gibt, als Ressourcen für diese kriminellen Ermittlungen zur Verfügung stehen”, sagte Ake.
“Es gibt viele andere, die dies nie tun und daher nicht die angemessenen Ressourcen erhalten, die sie benötigen, um vollständig zu untersuchen und abzuschrecken. Auf die Unterstützung des Bundes zu warten, kann für viele zu spät sein.”
Verwandte Themen:
Regierung – US-Sicherheitsfernsehdatenverwaltung CXO-Rechenzentren 