美国司法部今天在法庭上提审了一名拉脱维亚女程序员,她是Trickbot恶意软件团队的一员,在那里她担任程序员,编写控制恶意软件和在受感染电脑上部署勒索软件的代码。司法部在今天的一份新闻稿中说,55岁的阿拉·维特来自拉脱维亚,但居住在苏里南的帕拉马里博,于2月6日在佛罗里达州的迈阿密被捕。
美国官员说,以 "Max"为名上网的维特自2015年11月Trickbot恶意软件团伙成立以来一直与该团伙合作,当时Dyre恶意软件团伙的残余人员聚集在一起,创建并分发Dyre木马的改进版,该版本后来被命名为Trickbot。
根据法庭文件,维特被确认为Trickbot恶意软件背后的17名嫌疑人之一,据信自2015年以来,该软件已经感染了全球数百万台电脑。
美国调查人员说,维特操刀了 "与监测和跟踪Trickbot恶意软件的授权用户有关的代码的创建、控制和部署勒索软件,从勒索软件受害者那里获得付款,以及开发工具和协议来存储从被Trickbot感染的受害者那里偷来和流出的凭证。"
她在Trickbot团伙中的角色随着恶意软件的变化而变化,例如,从一个专注于从银行账户窃取资金的经典银行木马变成了其他恶意软件有效载荷(如勒索软件操作)的加载器。
美国官员在一份有47项罪名的起诉书中对维特提出了19项指控。网络安全专家的公开评论表明,维特没有很好地隐藏自己的身份,甚至在她的个人网站上托管Trickbot恶意软件的开发中版本。
维特是第一个被逮捕的Trickbot团伙的成员。美国官员表示,其他Trickbot嫌疑人仍在俄罗斯、白俄罗斯、乌克兰和苏里南逍遥法外。
2020年10月,美国官员对一个被称为QQAAZZ的犯罪集团提出指控,该集团帮助Trickbot团伙洗白他们从受害者银行账户中窃取的资金。同月,一个科技公司联盟试图捣毁Trickbot僵尸网络。虽然Trickbot团伙的行动被中断了几周,但该僵尸网络后来恢复了,并且至今仍在活动。
从历史上看,Trickbot僵尸网络是迄今为止最大和最成功的行动之一。它于2015年开始运作,此前Dyre恶意软件团伙的成员在一系列高调的逮捕行动后分散开来,使该团伙的领导结构瘫痪。
Trickbot是作为一个替代方案而成立的,最初它延续了Dyre的做法,其操作者将大部分时间投入到电子邮件垃圾邮件活动中,旨在诱使用户下载并在其计算机上安装恶意软件。
在其早期的历史中,Trickbot是一个典型的银行木马,它感染了计算机,然后篡改用户的浏览器,转储和窃取凭证,然后显示 "网络注入",允许该团伙收集电子银行凭证并与电子银行账户实时互动。
然而,随着银行开始部署安全功能,使银行木马的生活更加困难,大约在2017年,Trickbot团伙跟随当时活跃的其他恶意软件团体,将他们的银行木马转换成更简单、更精简的恶意软件。Trickbot被称为加载器(来自下载器)或投放器,它将继续在垃圾邮件的帮助下感染受害者,但一旦它感染了主机,主要目的将是下载和安装其他恶意软件株系。
这样,多年来,Trickbot团伙建立了一个巨大的僵尸网络,并将其出售给其他犯罪集团。被称为 "犯罪软件即服务 "的Trickbot运营商允许客户部署自己的恶意软件,或创建专门的模块,让客户为特定任务部署。
根据他们所感染的受害者,Trickbot恶意软件经常被用来窃取银行凭证、企业网络密码,让诈骗者进入大公司,让数据经纪人从企业网络中窃取机密和敏感文件,甚至部署Ryuk和Conti等赎金软件进行破坏性攻击。Trickbot现在被认为是当今最危险的僵尸网络之一,与Dridex、Qbot和IcedID一起活跃。
今天提交给维特的法庭文件经过大量编辑,隐藏了其他16名Trickbot运营商的名字,这表明美国官员已经知道了他们的身份,未来的逮捕和指控也必将随之而来。
(举报)