På fredagen tillkännagav justitieministeriet att det arresterade den 55-åriga lettiska medborgaren Alla Witte och anklagade henne för att ha spelat en roll i “en transnationell cyberbrottsorganisation” som låg bakom “Trickbot”, en av de mest kända och mest använda banktrojaner och ransomware-verktyg.
Witte står nu inför 19 olika anklagelser, allt från datorbedrägerier till grov identitetsstöld för den roll hon spelade i Trickbot-gruppen, vilket hjälpte till att sprida skadlig programvara från Ryssland, Vitryssland, Ukraina och Surinam. Gruppen bestod av personer som också var inblandade i Dyre-ransomware, enligt åtalet.
Biträdande justitieminister Lisa Monaco, som är chef för den nya Ransomware och Digital Extortion Task Force, sa i ett uttalande att Trickbot användes för att infektera miljontals datorer, skörda bankuppgifter och leverera ransomware till organisationer över hela USA , Europa och Indien.
Åklagare hävdade att Witte sedan 2015 arbetat som malwareutvecklare för att “utveckla och distribuera en digital svit med malwareverktyg som används för att rikta företag och privatpersoner över hela världen för stöld och lösen.” Hon var också personligen inblandad i ett försök att tvinga ett lösenoffer att betala gruppen i Bitcoin i utbyte mot en dekrypteringsprogramvara.
Hon skrev kod “relaterad till kontroll, distribution och betalning av ransomware”, enligt åtalet och tillhandahöll också kod som “övervakade och spårade auktoriserade användare av skadlig programvara och utvecklade verktyg och protokoll för att lagra stulna inloggningsuppgifter.”
Hon arresterades i en tingsrätt i Ohio och får upp till 87 års fängelse om hon dömdes.
Witte var ett av många namn som listades i åtalet men de flesta av hennes medsammandragares namn svarta ut, vilket tyder på att fler åtal kommer. Gänget använde Trickbot för att stjäla autentiseringsuppgifter på nätbank, vilket sedan gav gruppen ytterligare tillgång till offrets kreditkortsnummer, e-postmeddelanden, lösenord, födelsedatum, personnummer och adresser.
ZDNet rapporterade att Witte var arresterades i Miami för fyra månader sedan.
Cybersäkerhetsexperter sa att fallet var ett exempel på hur cyberbrottslingar kan få konsekvenser när privata företag arbetar med regeringen för att ta itu med attacker. Många knöt anklagelsen till de andra åtgärder som nyligen gjorts av Vita huset och rättsväsendet för att inte bara hjälpa företag som drabbats av ransomware utan ålägga dåliga aktörer vissa kostnader.
Charles Herring, medgrundare av cybersäkerhetsföretaget WitFoo, sa att det var det första “mogna” samarbetet mellan finanssektorn och brottsbekämpning och noterade att en rapport från FBI förra året fann att när företag arbetar med dem återvinns stulna medel 82 % av tiden.
På måndagen meddelade FBI att de kunde återställa mer än hälften av Bitcoin Colonial Pipeline som betalades till en ransomwaregrupp som stängde av sina system i flera dagar förra månaden.
“Det potentiella straffet för denna specifika brottsling är decennier i fängelse. Det skapar inte bara avskräckande för den direkt drabbade brottslingen utan skickar också ett starkt meddelande till andra brottslingar,” sade Herring.
“Den andra myten som motbevisas i denna anklagelse är att utländska aktörer är orörliga för brottsbekämpning. När regeringar samarbetar för att öka avskräckandet för it-brottslighet kommer brottslingar att hitta väldigt få tillflyktsorter.” arrestering skulle inte göra något för att störa lukrativa ransomware-operationer, men andra noterade att de som är inblandade i ransomware definitivt skulle lägga märke till det.
Cato Networks seniordirektör för säkerhetsstrategi Etay Maor sa att det som var annorlunda i detta fall var att en malwareutvecklare faktiskt arresterades.
Vanligtvis, förklarade Maor, kan brottsbekämpning bara gripa mulor och väldigt låga medbrottslingar som arbetar inom landets jurisdiktion, så att arrestera skadlig programvaruutvecklare är i allmänhet komplicerat.
“Tidigare väntade brottsbekämpande tjänstemän på att mål skulle åka på semester eller anlända till ett land som har ett utlämningsavtal med USA. Denna person var i Sydamerika och flyttade sedan till Florida och Ohio, vilket verkar atypiskt,” sa Maor.
“Varför skulle du åka till ett land som uppenbarligen letar efter dig och riskerar att gripas? En skadlig programvaruutvecklare är alltid bra, men jag hoppas också att FBI har en chans att intervjua henne och lära dig mer om de tekniska och personliga funktionerna för dessa gäng. Det är inte varje dag du har en chans som den här. “
Nya Net Technologies vice ordförande Dirk Schrader tillade att Microsoft försökte ta ner Trickbot förra året och noterade att arresteringsordern för Witte är daterad 13 augusti 2020, bara några veckor innan Microsoft tillkännagav nedtagningen av 94% av Trickbots kommando och kontroll servrar.
Schrader sa också att detaljerna i åtalet är fulla av information om upprättandet av ransomware-gäng, den inblandade logistiken och i vilken längd de kommer att ha så många offer som möjligt.
Greg Ake, seniorhotforskare vid Huntress, berättade för ZDNet att det nu verkar finnas ett minimitröskelvärde för skador som kan orsakas av en ransomwaregrupp innan federalt engagemang blir allvarligt.
“I slutändan verkar det som om brott inte betalar för vissa. Den sorgliga verkligheten är att det finns många fler hot än det finns resurser för dessa brottsutredningar,” sa Ake.
“Det finns många fler som aldrig gör det, och som sådan inte får tillräckliga resurser de behöver för att helt undersöka och avskräcka. Att vänta på federalt stöd kan vara för sent för många.”
Relaterade ämnen:
Regeringen – USA: s säkerhets-TV-datahantering CXO-datacenter 