اداره پلیس جنایی فدرال آلمان (BKA) اعلام کرد که فردی با نام مستعار استرن(Stern)، رهبر باندهای مهاجمان سایبری TrickBot و Conti، مردی ۳۶ ساله با تابعیت روسی به نام ویتالی نیکولایویچ کووالف است.
BKA گزارش داد که این شناسایی در پی عملیات بینالمللی مشترک موسوم به Operation Endgame انجام شد که هفته گذشته با توقیفها و اتهامات جدید همراه بود. به گفته این اداره، کووالف مظنون به تأسیس گروه TrickBot، معروف به Wizard Spider، است. این گروه از بدافزارهایی مانند TrickBot، BazarLoader، SystemBC، IcedID، Ryuk، Conti و Diavol استفاده کردهاست.
بر اساس اعلان BKA، کووالف اکنون تحت تعقیب بینالمللی با اعلان قرمز اینترپل قرار دارد و به رهبری یک سازمان مجرمانه متهم شده است. این اولین بار نیست که کووالف تحت پیگرد قانونی قرار میگیرد. در فوریه ۲۰۲۳، ایالات متحده او را بهعنوان یکی از هفت تبعه روس مرتبط با باندهای TrickBot و Conti تحریم و تحت پیگرد قانونی قرار داد. در آن زمان، کووالف بهعنوان عضو ارشد گروه با نامهای مستعار Bentley، Bergen، Alex Konor و Ben شناخته میشد.
BKA افزود که افشای اطلاعات شخصی و گفتگوهای داخلی اعضای TrickBot و Conti از طریق TrickLeaks و ContiLeaks نقش مهمی در این شناسایی داشت. ContiLeaks چتهای داخلی و کد منبع گروه Conti را فاش کرد، در حالی که TrickLeaks هویتها، حسابهای آنلاین و اطلاعات شخصی اعضای TrickBot را در توییتر منتشر کرد. این گفتگوها نشان داد که کووالف با نام Stern عملیات TrickBot و باجافزارهای Ryuk و Conti را هدایت میکرد و اعضای گروه برای انجام حملات یا استخدام وکیل برای اعضای بازداشتشده در ایالات متحده به تأیید او نیاز داشتند. این افشاگریها به فروپاشی گروه Conti کمک کرد و اعضای آن به باندهای دیگری مانند Royal، Black Basta، BlackCat، AvosLocker، Karakurt، LockBit، Silent Ransom، DagonLocker و ZEON پیوستند یا آنها را تأسیس کردند.
BKA گزارش داد که گروه TrickBot در مقاطعی بیش از ۱۰۰ عضو داشت و بهصورت سازمانیافته با ساختار سلسلهمراتبی و تمرکز بر کسب سود فعالیت میکرد. این گروه مسئول آلودهسازی صدها هزار سیستم در آلمان و سراسر جهان بود و از طریق فعالیتهای غیرقانونی خود صدها میلیون یورو بهدست آورد. قربانیان شامل بیمارستانها، نهادهای عمومی، شرکتها، ادارات دولتی و افراد عادی بودند.
BKA اعلام کرد که محل فعلی کووالف نامشخص است؛ اما احتمالا در روسیه زندگی میکند. این اداره خواستار ارائه اطلاعات درباره محل اقامت، حسابهای آنلاین یا کانالهای ارتباطی مورد استفاده او شده است.
