в сша арестовали ведущего хакера опаснейшей группировки trickbot
Учительница математики и криминальная вакансия. Как 55-летняя уроженка Ростова-на-Дону стала обвиняемой по делу о хакерской атаке в США
Хакеры из группировки Trickbot создали вирус-вымогатель, с помощью которого похитили десятки миллионов долларов у американских компаний. Участницей киберпреступного синдиката Минюст США называет Аллу Витте – 55-летнюю уроженку Ростова-на-Дону. Последние 14 лет она жила в Суринаме с мужем, гражданином Нидерландов. Настоящее Время разбиралось, как бывшая учительница математики оказалась в центре очередного скандала, связанного с русскими хакерами.
От правоохранительных органов Алла Витте не скрывалась: так, в 2018 году она опубликовала в фейсбуке фото своего дома в Парамарибо, столице Суринама. «Вот так ранним утром смотрят конференцию в джунглях Амазонки», – фото Алла сопроводила хэштегами онлайн-конференции, посвященной веб-разработке. В последние годы она регулярно участвовала в тренингах по IT и предлагала услуги по веб-дизайну через свой сайт. Одним из ее пилотных проектов был сайт службы такси.
В пресс-релизе Минюста США отмечено, что по этим обвинениям Алле Витте грозит срок до 85 лет.
«Не очень продвинутый троян»: как работал вирус Trickbot
Подельникам по группировке Trickbot Витте была известна как Max, утверждают власти США, а написанный ею код мог отвечать за контроль, развертывание и финансовые операции вируса-вымогателя.
Вот как это работает. Жертва получает имейл с зараженным документом Excel или Word. При открытии документ предлагает запустить встроенный алгоритм (макрос), после чего без ведома пользователя на компьютер устанавливается троян, «спящий» до тех пор, пока пользователь не решит зайти в свой онлайн-банк. Когда это происходит, троян направляет пользователя на поддельную версию сайта и просит ввести учетные данные. Так ничего не подозревающий пользователь передает злоумышленникам ключи от своего банковского счета.
Trickbot также загружает на компьютер программу-вымогателя Ryuk: она шифрует данные и требует выкуп в биткоинах за расшифровку. По данным ФБР, 2018–2019 годах операторы Ryuk получили более 61 миллиона долларов выкупа.
В США жертвами Trickbot становились банки, юридические компании, коммунальные службы, университеты и местные органы власти. Замминистра юстиции США Лиза Монако заявила, что вирус Trickbot «заразил миллионы компьютеров по всему миру, и через нее [мошенники] получали банковские данные и посылали требования выкупа».
Российский хакер Дмитрий Артимович в разговоре с Настоящим Временем тем не менее называет Trickbot «не очень продвинутым трояном, а обычным». «Вирус «чистится» (скрывает свои следы – НВ) только от встроенного антивируса Microsoft. Впрочем, те, кто подхватывают вирус, ничего другого не используют».
«Криминальная вакансия»
Алла Витте родилась в Ростове-на-Дону, получила высшее образование в Латвийском университете в сфере прикладной математики, работала менеджером по продажам, учителем математики и информатики, указано в ее резюме. Она гражданка Латвии. На ее странице вконтакте – открытки с котами и видео про здоровый сон.
Сотрудничество Витте с хакерами могло начаться в 2018 году, говорится в обвинительном заключении. За первую неделю она могла написать код для отслеживания каждого из сотен пользователей, чьи компьютеры поразила вредоносная программа. Она также могла подготовить видеоурок по использованию программы. А в 2019 году – якобы написала код для веб-панели, в которой хранится «огромная база данных» жертв Trickbot.
Сайт-портфолио Витте перестал работать в декабре 2019 года, а в январе 2020-го пользователи сервиса URLhaus (отслеживает опасные ссылки в интернете) обнаружили на нем два вредоносных файла Trickbot. Владелец сайта в это время не менялся, демонстрируют данные протокола Whois.
Возвращение «Уютного медведя»: российские спецслужбы подозревают в крупнейшей кибератаке на ведомства США
Примерно 2,5 года назад Витте нашла новую работу в российской компании, рассказывает Настоящему Времени ее муж Адриан. Название компании он не помнит, но подозревает, что она может быть связана с хакерами.
«Сама она не хакер, но работала на эту компанию, – продолжает Адриан. – Она попросила эту работу и получила ее. Я ничего не знаю о ее работе, она программист».
Участники Trickbot набирали сотрудников на обычных сайтах с вакансиями, говорится в обвинительном заключении. При этом они использовали имейлы, адреса которых содержали имя «Руслан Иштеряков». Такое имя носят несколько россиян, но не исключено, что оно было выбрано случайно.
Настоящее Время обнаружило один из указанных в обвинении имейлов в описании к заданию на программистском сайте: автор поста за 7 тысяч долларов предлагал найти уязвимости в браузерах под Windows «с перспективой постоянного долгосрочного сотрудничества».
Дмитрий Артимович считает, что эта «вакансия» «сильно похожа на криминальную».
«Есть люди, которые ищут уязвимости или берут из открытых источников, – объясняет Артимович. – Уязвимость в браузере – это набор действий (какой-то код на странице), который приводит к тому, что ваш браузер скачивает и запускает внешний файл. Обычно это все разные люди: кто-то ищет уязвимости, кто-то пишет связки, кто-то пишет банковских троянов, кто-то это все покупает и использует».
Шесть сообщников и «десятки лет тюрьмы»
Через несколько дней после ареста Аллы Витте федеральный судья-магистрат Южного округа штата Майами Алиша Отазо-Рейес приказала федеральному маршалу «доставить обвиняемую вместе с копией этого приказа в округ, где ей предъявлено обвинение, и передать ее маршалу этого округа». Так Витте попала в Огайо, где содержится под стражей и числится в федеральном бюро тюрем США под номером 21183-104. Вместе с ней по делу проходят шесть сообщников. Известно, что пятеро из них – россияне, один – из Украины. Дело Аллы Витте поручено вести 73-летнему судье Соломону Оливеру, которого назначил еще президент Билл Клинтон.
Аркадий Бух – американский адвокат по делам о киберпреступлениях – считает, что уже опубликованных обвинений достаточно, чтобы прокуратура могла запросить наказание в виде «десятков лет тюрьмы».
«Прокуратура говорит, что это предварительное обвинение, намекая, что будет еще дополнительное, superseding indictment, – говорит Бух Настоящему Времени. – Обычно в таких случаях появляются новые свидетели, новые факты, которые могут повысить потенциальный срок. Прокуратура говорит, что миллионы компьютеров были инфицированы, что мне как адвокату по подобным делам говорит о том, что грозят достаточно высокие сроки».
Загадкой остаются имена других обвиняемых по этому делу – их прокуратура засекретила. По словам Буха, они могут «всплыть» на суде присяжных. «Часть обвиняемых может предстать на суде вместе с Аллой, – говорит юрист. – А часть – никогда не будут пойманы и останутся в России, потому что Россия не выдает своих граждан».
Безумный «Макс». Как под маской опасного международного хакера скрывалась 55-летняя россиянка из Ростова-на Дону?
Вредоносный троян Trickbot является одним из самых известных в мире. Одноименная группировка киберпреступников и созданный ею ботнет доставили немало проблем пользователям сети: хакеры готовы продавать свое опасное программное обеспечение кому угодно, а их клиенты уже используют код по собственному усмотрению. Одной из ключевых фигур в команде Trickbot на протяжении последних лет был некий Макс (Max), одаренный программист, отдавший свой талант «темной стороне». Как и у прочих членов банды, реальное имя и личность Макса были неизвестны. Но в начале июня «Макс» предстал перед американским судом: оказалось, что под этим именем, по мнению следствия, скрывалась 55-летняя Алла Витте из Ростова-на-Дону. «Лента.ру» изучила следственные документы и разобралась, в чем обвиняют уроженку России, а главное — как она попала в одну из самых влиятельных хакерских группировок планеты и какую роль сыграла в ее развитии.
Путь в тень
Алла Витте более чем не похожа на преступницу: на фотографиях — миловидная рыжеволосая женщина с внимательным взглядом. Многочисленные резюме на профильных сайтах убеждают: Витте — высококлассный профессионал, может быстро и качественно выполнять сложную работу. Почти ничто не намекает на иную сторону ее жизни, где она в качестве члена банды Trickbot держит на поводке виртуальную жизнь множества людей. Но если внимательнее присмотреться к ее жизни в онлайне, можно найти некоторые зацепки.
Сгубила Витте ее активность в сети. Несмотря на компетентность в вопросах хакерства, с безопасностью у нее явно были большие проблемы. Профили в социальных сетях есть у многих киберпреступников, там они могут быть даже очень общительными и активными, но никому из них не придет в голову привносить в публичное поле свою преступную деятельность. И на первый взгляд в аккаунтах Витте все очень обычно: картинки с кошками, виртуальные открытки с поздравлениями, приглашения вместе поиграть на платформе «ВКонтакте». Однако в одном из постов в соцсети она упоминает некоего Максима. Возможно, это и совпадение, но именно это имя она использовала в качестве псевдонима.
Следующий шаг кажется совсем странным для хакера: в январе 2020 года Витте использовала для распространения вредоносного программного обеспечения свой личный сайт. О последнем случае написал в Twitter специалист в области кибербезопасности под ником gorimpthon (на его страницу подписано более тысячи человек), — так об этом узнали многие. Чуть более чем за месяц до этого подозреваемая заразила вредоносной программой одно из своих устройств — программное обеспечение выгрузило ее данные в ботнет и зарегистрировало их. Эти провалы явно демонстрируют беспечность Витте, за которую она и поплатилась. Сообщается также, что большинство членов команды Trickbot, которые максимально озабочены вопросами анонимности, прекрасно знали ее имя и фамилию.
Настоящая фамилия Аллы Витте — Климова. Она родилась в 1965 году в Ростове-на-Дону, а в 1983-м переехала в Ригу, где поступила в Латвийский университет и несколько лет изучала прикладную математику. Интерес к программированию возник сразу, но не реализовывался: Климова успела поработать и преподавателем, и менеджером по продажам. Позже она вышла замуж, сменила фамилию и переехала в Амстердам. Чета Витте много путешествовала, а в последние годы осела в Суринаме.
Жизнелюбию и желанию самореализации Аллы Витте можно позавидовать: «Я хочу быть отличным программистом, способным создавать эксклюзивные решения и путешествовать по клиентам в разных странах. Я работаю на себя и клиентов в течение гигантского количества времени, потому что я могу это делать, и поэтому я это делаю», — пишет она. На русскоязычных форумах она советует начинающим исключать из своей жизни тех, кто пытается им доказать их несостоятельность. По ее словам, надо искать поддержки и советов у профессионалов, а тянущих назад — отвергать.
Витте рекламировала свои услуги как разработчика в большом количестве сообществ для фрилансеров. С 2012 года у нее сплошные положительные отзывы: заказчики отмечают качество ее работы и профессионализм. Предположительно, именно на сайте фрилансеров ее и отыскали члены Trickbot.
США против Витте
6 февраля Витте арестовали в Майами. Впервые перед судом она предстала 4 июня: были выдвинуты обвинения, связанные с ее предполагаемым членством в опасной группировке. Именно на эту команду возложили ответственность за создание и развертывание в сети банковского трояна и набора иных программ-вымогателей, известных комплексно как Trickbot. 8 июня 2021 года было открыто дело «Соединенные Штаты Америки против Аллы Витте», которое обещает быть громким.
Алла Витте обвиняется по 19 из 47 пунктов заключения, где говорится о ее участии в преступной организации, известной как группа Trickbot, которая внедряла вредоносное ПО Trickbot. В обвинительном заключении утверждается, что начиная с ноября 2015 года Витте и ее сообщники якобы работали вместе, чтобы заразить компьютеры жертв вредоносной программой Trickbot, предназначенной для захвата учетных данных для входа в интернет-банк и сбора другой личной информации, включая номера кредитных карт, электронные письма, пароли, даты рождения, номера социального страхования и адреса. Витте и другие также, предположительно, захватили учетные данные для входа и другую личную информацию, чтобы получить доступ онлайн к банковским счетам, осуществлять несанкционированные электронные переводы средств и отмывать деньги через счета получателей в США и за рубежом.
Группа Trickbot действовала в России, Белоруссии, Украине и Суринаме и в основном нацеливалась на компьютеры жертв, принадлежащие предприятиям, организациям и частным лицам, в том числе в Северном округе Огайо и других районах Соединенных Штатов. Цели включали больницы, школы, коммунальные службы и правительства.
Материалы дела «Соединенные Штаты Америки против Аллы Витте»
Офис прокурора США Северного округа Огайо уже объявил, что считает 55-летнюю гражданку Латвии Витте тем самым Максом из команды Trickbot. Дело против группы хакеров построено по меньшей мере на пятилетнем архиве сообщений жертв о кибератаках Trickbot в США — из местных школьных округов, компаний, занятых в сфере недвижимости, загородных клубов, юридических фирм, коммунальных служб, — а также на информации ФБР, которое вело работу по группе с 2016 года.
Сама обвиняемая отказалась от слушания по своему задержанию и не сделала никаких официальных заявлений. Однако эксперты уверены, что, если она согласится на сотрудничество с властями, ее показания внесут неоценимый вклад в разоблачение киберпреступной сети. Витте останется под стражей в американском Кливленде до тех пор, пока не предстанет перед судом. Министерство юстиции отказалось подробно описать обстоятельства ее ареста, за исключением того, что она прибыла в Майами из Суринама, где постоянно проживает с семьей.
Как отметила заместитель генерального прокурора Лиза Монако, случай Витте следует трактовать как предупреждение для потенциальных киберпреступников о том, что Министерство юстиции через целевую группу будет использовать все имеющиеся инструменты, чтобы разрушить киберпреступную систему.
Страстная, но незадачливая киберпреступница
Принято считать, что хакеры — это относительно молодые люди. Некоторые эксперты, узнав о Витте, предположили, что это мистификация или подлог. Создатель консалтинговой компании, занимающейся киберрасследованиями, Hold Security Алекс Холден называл ее единорогом: «Она сочетает в себе страсть к изучению технологий, и это в преклонном возрасте, с жизнью незадачливого киберпреступника, который разработал вредоносные программы и программы-вымогатели, которые причинили боль многим», — подчеркнул он.
Впервые о Trickbot стало известно осенью 2016 года — банковский троян атаковал платежную систему PayPal и системы CRM. Позднее в систему добавлялись новые и новые компоненты: дополнение самораспространяющимися вирусами, программы для кражи учетных данных и cookie-файлов, активное противодействие системам безопасности (в том числе обход двухфакторной аутентификации) и многое другое. Вредоносное программное обеспечение распространяется чаще всего фишинговыми рассылками, в том числе через программы, Google Docs и пакетные (командные) файлы.
Группа продает свое вредоносное ПО всем желающим. Из-за этого заражение может происходить разнонаправленно и одновременно. После заражения жертвы становятся частью огромного ботнета, сети из тысяч компьютеров и серверов по всему миру, которые являются носителями опасной программы Trickbot. Она же используется в качестве точки входа для хакеров, охотящихся за данными для шпионажа или желающих внедрить вымогателей. По информации компании Eclypsium, это один из самых популярных источников входа для атак вымогателей, используемых сегодня.
С момента первого обнаружения операторы Trickbot украли сотни миллионов долларов у своих жертв в США. Хакеры не гнушались ничем: когда в США резко возросла статистика заболеваний COVID-19, власти сразу предупредили о неминуемых атаках на больницы и поставщиков медицинских услуг со стороны крупнейших хакерских групп, в том числе Trickbot.
Так, в сентябре 2020 года вся американская система здравоохранения была парализована: заражение произошло через фишинговые электронные письма и последующую установку Trickbot, а затем и программой-вымогателем Ryuk. Все попытки уничтожить Trickbot со стороны ФБР были тщетными: атаки могли бы значительно повредить работу Trickbot, но хакеры разработали для него отличные резервные механизмы восстановления, и подобные сбои существенно на него не влияют. К 2021 году исследователи в области кибербезопасности предупредили — хакеры вновь улучшили свое детище. Эксперты считают, что представителям власти никак нельзя останавливаться в погоне за киберпреступниками, которые каждую секунду стремятся оставить их далеко позади.
Предполагается, что уже в первую неделю работы в группе Trickbot, к которой Витте присоединилась в 2018 году, женщина написала код для отслеживания каждого из сотен пользователей, применяющих вредоносное программное обеспечение. В течение нескольких месяцев она также подготовила мануал, в котором показала своим «коллегам», как использовать предложенное программное обеспечение для слежки и шпионажа. В течение следующего года она также написала код для веб-панели, которую Trickbot использует для хранения гигантской базы украденных данных. Известно, что в нее также была включена система цветового кодирования, — чтобы пользователи могли отслеживать процесс развития каждого уникального заражения. Согласно судебным протоколам и обвинительному заключению, позже Витте продолжила писать код, контролирующий развертывание программ-вымогателей, и даже курировала содержание сообщений о шифровке системы, предназначенной для жертв. Теперь беспечной хакерше грозит длительный тюремный срок по каждому вмененному эпизоду, по некоторым речь идет о 20 и 30 годах заключения.
В ФБР считают, что известный хакер из группировки Trickbot и 55-летняя уроженка Ростова-на-Дону Алла Витте – одно лицо
Тот самый Макс
55-летняя ростовчанка Алла Витте предстала перед судом в США: ФБР считает ее лидером хакерской группировки Trickbot, создавшей одноименный вирус. Женщина, которую на первый взгляд очень сложно заподозрить в причастности к киберпреступлениям, могла действовать под псевдонимом «Макс» и вместе с сообщниками похитить у пользователей по всему миру десятки миллионов долларов.
Вирусная программа Trickbot известна во всем мире: создавшая ее одноименная кибергруппировка успела насолить пользователям из разных стран. Хакеры совершенно не привередливы в выборе покупателей своего вредоносного ПО, а клиенты, получив вирус, задействуют его по собственному усмотрению. Долгое время одной из основных фигур в команде Trickbot считался некто Макс (Max) – талантливый программист, выбравший «темную сторону». Личности хакеров, как правило, держатся в секрете, и до поры до времени так было и с загадочным Максом. Но в начале июня выяснилось, что под этим «творческим псевдонимом» пряталась 55-летняя Алла Витте, уроженка Ростова-на-Дону. «Лента.ру» поделилась подробностями дела.
Едва ли кто-то мог предположить, что женщина вроде Аллы Витте может быть одним из лидеров известной кибергруппировки, за которой охотится ФБР. В сети можно найти ее резюме, в которых Витте предстает как профессионал высокого уровня, но нет даже намека на тайную жизнь в даркнете. Впрочем, внимательный зритель, возможно, обратит внимание на некоторые детали, которые могут стать зацепками.
Как ни парадоксально, Витте, несмотря на все свои профессиональные навыки, прокололась на соцсетях. Многие хакеры не отказываются от аккаунтов на популярных ресурсах, но при этом все, что может указать на их причастность к киберпреступлениям, тщательно скрывается. Нельзя сказать, чтобы Витте очень активно «светила» своей тайной деятельностью, но в одном из постов во «ВКонтакте» она упомянула некоего Максима, засветив собственный псевдоним.
А следующий ее шаг и вовсе недопустим для хакера-профи. В начале 2020 года Витте задействовала для распространения вируса свой личный сайт. Об инциденте рассказал в своем микроблоге в Twitter пользователь под ником gorimpthon – специалист в сфере кибербезопасности, у которого более 1000 подписчиков, и эта информация разошлась по сети. А примерно за месяц до этих событий Витте заразила вредоносным ПО одно из своих устройств, и вирус выгрузил данные в ботнет и зарегистрировал их. Промахи, допущенные женщиной, показывают, что Витте явно не слишком внимательно следила за безопасностью, и наказание за беспечность не заставило себя ждать. Кроме того, есть информация, что большая часть членов команды Trickbot знали настоящие имя и фамилию «Макса», хотя хакеры стремятся сохранять анонимность даже со «своими».
Профессионально и качественно
Алла Витте, в девичестве – Климова, родилась в 1965 году в Ростове-на-Дону. В 1983 году она перебралась в Ригу, поступив в Латвийский университет и посвятив несколько лет изучению прикладной математики. Уже тогда Климова заинтересовалась программированием, однако оно не сразу превратилось в ее профессию – до этого будущий член кибергруппировки успела поработать и преподавателем, и менеджером по продажам. Впоследствии она вышла замуж, сменила фамилию и переехала в Амстердам вместе с мужем. Супруги много путешествовали, а в последние годы поселились в Суринаме.
Жителей Ростова-на-Дону смутил слишком молодой на вид водитель автобуса. Одна из пассажирок автобуса под его управлением заподозрила, что у мужчины отсутствует водительское удостоверение.
Алла Витте: «Я хочу быть отличным программистом, способным создавать эксклюзивные решения и путешествовать по клиентам в разных странах. Я работаю на себя и клиентов в течение гигантского количества времени, потому что я могу это делать, и поэтому я это делаю».
На русскоязычных сайтах, где общаются пользователи, можно встретить комментарии Витте, в которых она рекомендует начинающим программистам избавляться от людей, указывающих на их несостоятельность, а вместо этого прибегать к помощи и рекомендациям опытных специалистов.
Собственные услуги разработчика Витте продвигала в различных фрилансерских сообществах в сети. С 2012 года у нее накопилось множество положительных отзывов – работавшие с ней клиенты обращают внимание на ее профессиональный подход к делу и качество работы. Высока вероятность, что хакеры из Trickbot вышли на Витте именно через один из таких порталов.
6 февраля Алла Витте была арестована в Майами американскими правоохранителями, а перед судом в первый раз предстала 4 июня. Уроженке Ростова-на-Дону предъявили обвинения, связанные с ее предполагаемым участием в деятельности Trickbot. В США считают, что именно на этой группировке лежит ответственность за создание и распространение трояна, атаковавшего банковские счета, и других программ-вымогателей, которые известны под общим названием Trickbot. 8 июня 2021 года стартовало дело «США против Аллы Витте», и процесс обещает быть весьма резонансным.
Витте предъявлены обвинения по 19 из 47 пунктов заключения: ей вменяют участие в преступной организации, разработку и внедрение вредоносного ПО Trickbot, которое создано для кражи учетных данных интернет-банкинга и иной личной информации, в том числе, номеров кредиток, электронных писем, паролей и так далее. По версии обвинителей, Витте и ее сообщники также захватили учетные записи для входа в аккаунты и другую информацию, чтобы получить интернет-доступ к банковским счетам, производить несанкционированные переводы денежных средств и заниматься отмыванием денег посредством счетов получателей переводов на территории США и других стран.
Деятельность Trickbot разворачивалась в таких государствах как Россия, Белоруссия, Украина и Суринам, а объектами интереса хакеров становились устройства, принадлежащие предприятиям, организациям и частным лицам – в том числе, в США. В диапазон целей входили медучреждения, школы, коммунальные службы, а также сайты правительственных учреждений.
В офисе прокурора США Северного округа Огайо уже успели заявить, что, по версии ведомства, под маской Макса из Trickbot пряталась 55-летняя гражданка Латвии Алла Витте. В основу обвинения легли сообщения жертв хакерских атак за последние пять лет, а также материалы ФБР, взявшего группировку в разработку в 2016 году. По версии прокуратуры, за несколько лет в составе Trickbot Витте сделала впечатляющую «карьеру», поднявшись от простого разработчика до одной из ключевых фигур. Есть сведения, что в команду входит в общей сложности семь человек.
Витте отказалась от слушания по поводу ее задержания и воздержалась от официальных заявлений. Но, как полагают специалисты, она может владеть очень ценной информацией, и в случае согласия Витте сотрудничать с властями ее показания будут иметь большую ценность и поспособствуют раскрытию остальных членов хакерской сети. До следующего судебного заседания женщина останется под стражей в Кливленде. Обстоятельства ее ареста не раскрываются – Минюст США лишь уточнил, что в Майами Витте приехала из Суринама, где она живет со своей семьей. С какой целью она туда прибыла, не уточняется.
Заместитель генерального прокурора Лиза Монако высказалась по поводу дела Витте, заметив, что он является своего рода предупреждением для потенциальных киберпреступников. По ее словам, они должны осознавать, что Минюст будет задействовать все имеющиеся в его распоряжении инструменты, чтобы вывести хакеров на чистую воду.
Российская певица Юлия Чичерина ассоциируется с войной, поэтому ей запретили выступать на ЧМ по футболу, пояснили представители ФИФА. Ранее исполнительница сообщила, что ей не разрешили спеть на матче в Ростове-на-Дону.
Считается, что хакеры – это люди довольно молодого возраста – спасибо фильмам и сериалам, создавшим такой образ. Поэтому когда в СМИ распространилась информация об аресте Витте, эксперты посчитали, что это ошибка, подлог или мистификация. Предполагаемая киберпреступница действительно не попадает под этот стереотип. Как заметил Алекс Холден, основатель консалтинговой компании Hold Security, специализирующейся на киберрасследованиях, Витте можно сравнить с единорогом.
Алекс Холден: «Она сочетает в себе страсть к изучению технологий, и это в преклонном возрасте, с жизнью незадачливого киберпреступника, который разработал вредоносные программы и программы-вымогатели, которые причинили боль многим».
Группировка Trickbot впервые заявила о себе осенью 2016 года: тогда атаке вируса подверглись системы CRM и платежный сервис PayPal. Впоследствии ПО получило новые элементы: самораспространяющиеся вирусы, программы для похищения учетных данных и cookie-файлов, компоненты для активного противодействия системам безопасности и многое другое. Распространяется вирус, как правило, через фишинговые рассылки, в том числе, посредством программ Google Docs и пакетных файлов.
Trickbot продает свою разработку всем желающим, поэтому заражение может происходить одновременно в разных направлениях, после чего атакованные устройства становятся составными частями масштабного ботнета, соединяющего тысячи серверов и компьютеров по всему миру. Trickbot также используется для кражи данных, шпионажа или внедрения программ-вымогателей. По данным специалистов, на сегодняшний день она представляет собой один из самых часто используемых источников входа для вымогателей.
С тех пор, как Trickbot впервые был обнаружен в сети, его операторам удалось похитить сотни миллионов долларов только в США. При этом хакеры не останавливались ни перед чем. Так, когда на Америку обрушилась пандемия коронавируса, власти немедленно предупредили об атаках на медучреждения и поставщиков медицинских услуг и не ошиблись.
В сентябре 2020 года вся система здравоохранения США оказалась парализована: сработала классическая схема с фишинговыми ссылками, и устройства заразили Trickbot и программа-вымогатель Ryuk. ФБР оказалось бессильно, поскольку его методы борьбы с вредоносным ПО не принесли результата из-за предусмотренных хакерами резервных механизмов восстановления. К 2021 году хакеры сделали новые шаги по усовершенствованию вредоносного софта, еще надежнее защитив его от внешних вмешательств. Эксперты уверены, что хакеры постоянно движутся вперед, поэтому представители властей не должны останавливаться, иначе рискуют безнадежно отстать в этой гонке.
Есть информация, будто Витте, едва успев примкнуть к кибергруппировке Trickbot в 2018 году, уже через неделю написала код, позволяющий отслеживать всех пользователей, использующих вредоносное ПО. Затем она подготовила руководство для коллег по использованию предложенного софта для слежки и шпионажа – на это ушло несколько месяцев. Следующий год у Витте ушел на написание кода для веб-панели, рассчитанной на хранение украденных данных. Как следует из обвинения, в дальнейшем Витте продолжила работу над кодом для контроля развертывания программ-вымогателей и даже курировала содержание сообщений о шифровке системы, предназначенной для жертв.
Сейчас кибервзломщице, которая, несмотря на все свои таланты, не проявила достаточной осмотрительности, может грозить продолжительный тюремный срок: по некоторым эпизодам речь идет о двух или трех десятках лет заключения, а значит, учитывая возраст Аллы Витте, она рискует вообще не выйти на свободу.