Имя человека, стоявшего за атакой на полмира, раскрыто. Но его руки до сих пор развязаны
NewsMakerТеперь мы знаем, кто всё это время заправлял бандами TrickBot и Conti. Что дальше?
Федеральное ведомство уголовной полиции Германии (BKA) впервые официально назвало настоящее имя человека, стоявшего за хакерскими группировками TrickBot и Conti. По данным следователей, под псевдонимом *Stern* скрывался 36-летний гражданин России — Виталий Николаевич Ковалёв. Об этом BKA сообщило на прошлой неделе, представив очередную часть результатов глобальной операции Endgame, в рамках которой власти десятков стран координируют действия против вредоносной киберинфраструктуры и ключевых игроков в её теневой экономике.
Немецкие следователи утверждают, что именно Ковалёв стоял у истоков TrickBot — группы, также известной под именем Wizard Spider. Эта организация использовала широкий арсенал вредоносных инструментов: от одноимённого банковского трояна Trickbot до загрузчиков BazarLoader и SystemBC, троянов IcedID и Diavol, а также программ-вымогателей Ryuk и Conti, нанёсших ущерб сотням организаций по всему миру.
Против Ковалёва уже выдано *красное уведомление* Интерпола. Он официально обвиняется в руководстве преступным сообществом, хотя в документах BKA имя организации не указано напрямую. Фактически речь идёт о лидере транснационального киберпреступного синдиката, деятельность которого строилась по корпоративным принципам: с иерархией, проектной разбивкой, финансовой отчётностью и жёсткой управляемостью.
Это не первое появление Ковалёва в поле зрения правоохранительных органов. Ещё в феврале 2023 года его имя фигурировало в списке из семи россиян, которых США обвинили в связях с TrickBot и Conti. Тогда он был представлен как один из руководителей группировки — под псевдонимами Bentley, Bergen, Alex Konor и Ben. Но роль лидера ему тогда приписана не была: лишь после новых утечек и анализов внутренней переписки стало ясно, кто именно управлял операциями.
Ключевым моментом стало опубликование массивов данных, известных как TrickLeaks и ContiLeaks. Первая утечка включала в себя персональные данные, учётные записи и контакты членов TrickBot. Вторая — исходный код и внутренние диалоги членов группировки Conti. В опубликованных сообщениях неоднократно упоминался Stern, которому другие участники группы направляли запросы на согласование атак, рекрутинг и даже оплату юридической помощи арестованным хакерам в США.
Эти утечки не только раскрыли внутреннюю кухню группировки, но и фактически разрушили Conti: после публикации многие участники покинули проект и разошлись по новым группам. Среди них — такие громкие имена, как Royal, Black Basta, BlackCat, AvosLocker, Karakurt, LockBit, Silent Ransom, DagonLocker и ZEON. По сути, одна утечка децентрализовала одно из самых мощных киберпреступных формирований в истории.
В пятничном заявлении BKA подчёркивает масштаб и организационную зрелость TrickBot: на разных этапах группа насчитывала более 100 активных участников, работала по проектному принципу и была ориентирована исключительно на прибыль. География заражений охватывала сотни тысяч систем — как в Германии, так и по всему миру. Жертвами становились больницы, органы власти, коммерческие организации и частные лица. В результате атак преступники заработали суммы, оцениваемые в *три цифры миллионов евро*.
Несмотря на многолетние усилия правоохранительных органов, местоположение Ковалёва до сих пор не установлено. BKA считает, что он, вероятно, находится в России, и призывает граждан и специалистов по информационной безопасности сообщать любую информацию, способную помочь в его розыске: от используемых им онлайн-аккаунтов до каналов связи и цифровых следов.
Операция Endgame, частью которой стало это расследование, остаётся одной из крупнейших международных инициатив по борьбе с инфраструктурой вредоносного ПО. Помимо TrickBot и Conti, в её рамках были также атакованы и ликвидированы сервера и домены, связанные с Danabot, Smokeloader и другими крупными кибер угрозами . Расследование продолжается, и власти явно делают ставку на системное разрушение логистики цифрового преступного мира — начиная с верхушки.
Федеральное ведомство уголовной полиции Германии (BKA) впервые официально назвало настоящее имя человека, стоявшего за хакерскими группировками TrickBot и Conti. По данным следователей, под псевдонимом *Stern* скрывался 36-летний гражданин России — Виталий Николаевич Ковалёв. Об этом BKA сообщило на прошлой неделе, представив очередную часть результатов глобальной операции Endgame, в рамках которой власти десятков стран координируют действия против вредоносной киберинфраструктуры и ключевых игроков в её теневой экономике.
Немецкие следователи утверждают, что именно Ковалёв стоял у истоков TrickBot — группы, также известной под именем Wizard Spider. Эта организация использовала широкий арсенал вредоносных инструментов: от одноимённого банковского трояна Trickbot до загрузчиков BazarLoader и SystemBC, троянов IcedID и Diavol, а также программ-вымогателей Ryuk и Conti, нанёсших ущерб сотням организаций по всему миру.
Против Ковалёва уже выдано *красное уведомление* Интерпола. Он официально обвиняется в руководстве преступным сообществом, хотя в документах BKA имя организации не указано напрямую. Фактически речь идёт о лидере транснационального киберпреступного синдиката, деятельность которого строилась по корпоративным принципам: с иерархией, проектной разбивкой, финансовой отчётностью и жёсткой управляемостью.
Это не первое появление Ковалёва в поле зрения правоохранительных органов. Ещё в феврале 2023 года его имя фигурировало в списке из семи россиян, которых США обвинили в связях с TrickBot и Conti. Тогда он был представлен как один из руководителей группировки — под псевдонимами Bentley, Bergen, Alex Konor и Ben. Но роль лидера ему тогда приписана не была: лишь после новых утечек и анализов внутренней переписки стало ясно, кто именно управлял операциями.
Ключевым моментом стало опубликование массивов данных, известных как TrickLeaks и ContiLeaks. Первая утечка включала в себя персональные данные, учётные записи и контакты членов TrickBot. Вторая — исходный код и внутренние диалоги членов группировки Conti. В опубликованных сообщениях неоднократно упоминался Stern, которому другие участники группы направляли запросы на согласование атак, рекрутинг и даже оплату юридической помощи арестованным хакерам в США.
Эти утечки не только раскрыли внутреннюю кухню группировки, но и фактически разрушили Conti: после публикации многие участники покинули проект и разошлись по новым группам. Среди них — такие громкие имена, как Royal, Black Basta, BlackCat, AvosLocker, Karakurt, LockBit, Silent Ransom, DagonLocker и ZEON. По сути, одна утечка децентрализовала одно из самых мощных киберпреступных формирований в истории.
В пятничном заявлении BKA подчёркивает масштаб и организационную зрелость TrickBot: на разных этапах группа насчитывала более 100 активных участников, работала по проектному принципу и была ориентирована исключительно на прибыль. География заражений охватывала сотни тысяч систем — как в Германии, так и по всему миру. Жертвами становились больницы, органы власти, коммерческие организации и частные лица. В результате атак преступники заработали суммы, оцениваемые в *три цифры миллионов евро*.
Несмотря на многолетние усилия правоохранительных органов, местоположение Ковалёва до сих пор не установлено. BKA считает, что он, вероятно, находится в России, и призывает граждан и специалистов по информационной безопасности сообщать любую информацию, способную помочь в его розыске: от используемых им онлайн-аккаунтов до каналов связи и цифровых следов.
Операция Endgame, частью которой стало это расследование, остаётся одной из крупнейших международных инициатив по борьбе с инфраструктурой вредоносного ПО. Помимо TrickBot и Conti, в её рамках были также атакованы и ликвидированы сервера и домены, связанные с Danabot, Smokeloader и другими крупными кибер угрозами . Расследование продолжается, и власти явно делают ставку на системное разрушение логистики цифрового преступного мира — начиная с верхушки.