Німецькі влади виявили лідера Trickbot — Віталія Ковалєва.

Після майже шести років ухиляння від правосуддя, загадковий лідер картелю-вимагачів Trickbot, відомий в інтернет-просторі під псевдонімом “Stern”, вперше був названий публічно. У травні 2025 року федеральна поліція Німеччини, Бундескриміналамат (BKA), підтвердила, що Віталій Миколайович Ковалев, 36-річний громадянин Росії, є мозком однієї з найпродуктивніших кіберзлочинних операцій в історії. Оскільки він, ймовірно, перебуває в Росії, що ускладнює його екстрадицію, Ковалев тепер з’являється в червоному списку Інтерполу і обвинувачується в Німеччині в організації транснаціональної злочинної організації.

Історія операції Trickbot

Trickbot вперше був помічений наприкінці 2016 року, і з того часу він перетворився з залишків зламаного банківського тройана Dyre. Протягом свого існування модульна архітектура Trickbot забезпечувала широкий спектр шкідливих програм, від крадіжки банківських даних до шифрування дисків, надаючи ці послуги афілійованим особам. Основні технічні складові включали:

• Модульна система плагінів: Динамічно завантажувані DLL для спеціалізованих завдань (наприклад, мережеве розвідка, збір даних для входу).
• Зашифроване управління і контролю: HTTPS з самопідписаними сертифікатами та ChaCha20-Poly1305, що ускладнює глибокий аналіз пакетів.
• Механізми стійкості: Ключі реєстру, підписки на події WMI та заплановані завдання для прихованих перезапусків.
• Шифрувальні програми-вимагачі: Інтеграція з шифрувальниками Ryuk, Conti та IcedID, кожен з яких має свої тактики, техніки та процедури (TTP).

“Trickbot заклав основи сучасної моделі бізнесу кіберзлочинності ‘as-a-service’,” зазначає Олександр Леслі з Recorded Future. “Під керівництвом Stern група досягла рівня професіоналізму, який раніше був рідкістю в сфері вимагачів.”

Розслідування та атрибуція

Мультирічне розслідування, кодова назва якого — Операція Endgame, проводилось BKA разом з Європолом, Міністерством юстиції США та іншими міжнародними партнерами. Ключовими досягненнями стали:

1. Аналіз понад 60 000 витоків внутрішніх повідомлень від Trickbot і Conti на початку 2022 року.
2. Судово-технічне порівняння коду між зразками Trickbot та Qakbot, вилученими у 2023 році.
3. Отримання інформації від агентів під прикриттям на форумах темного інтернету.

Поєднавши метадані, отримані з чатів, з традиційними слідчими методами, правоохоронці лише цього року змогли зв’язати особу Stern з Віталієм Ковалевим.

Червоне повідомлення Інтерполу та юридичний статус

• Повідомлення видано: Травень 2025 року базою даних вкрадених та втрачених документів Інтерполу.
• Обвинувачення в Німеччині: Лідер злочинної організації, комп’ютерний саботаж, вимагання.
• Санкції США та обвинувачення: Вже підпав під санкції Міністерства фінансів США та Великобританії у 2023 році під псевдонімами “ben” та “Bentley.”

Незважаючи на дії США та Великобританії, зв’язок Ковалева з псевдонімом Stern не був розкритий до цього часу, що свідчить про стратегічне рішення зберегти розслідування.

Технічний аналіз: архітектура та TTP

Стійкість Trickbot обумовлена його багатошаровим підходом:

• Початковий вектор фішингу: Макроси Office, які надходять через кампанії цільового фішингу, часто з використанням зловмисних документів, що експлуатують CVE-2017-11882.
• Виконання в пам’яті: Відображення DLL для уникнення запису на диск.
• Ескалація привілеїв: Зловживання вивантаженням LSASS та підробкою токенів для латерального переміщення в мережах.
• Автоматизоване латеральне поширення: Інтеграція з модулями Mimikatz для збору даних для входу з пам’яті.

“Stern оточив себе висококваліфікованими операторами, деякі з яких мають десятилітній досвід, що дозволило швидко розробляти кастомізовані модулі та експлуатувати нульові вразливості,” пояснює Кіт Джарвіс з підрозділу боротьби з загрозами Sophos.

Зв’язки з російською державною безпекою

Посилаючись на внутрішні чати, дослідники зафіксували, як Stern координує зусилля, позначені як “урядові теми” — ймовірно, мова йде про співпрацю з ФСБ. Хоча немає прямих доказів, що пов’язують ФСБ з конкретними атаками, оперативна безпека та вдосконалені інструменти свідчать про підтримку або мовчазну згоду з боку російської розвідки.

Операція Endgame: Міжнародні зусилля з протидії

Розпочата в 2021 році, Операція Endgame до цього часу:

1. Вилучила сервери управління та контролю в Європі та Азії.
2. Затримала понад 30 афілійованих осіб Trickbot під час скоординованих рейдів.
3. Опублікувала дані про sinkhole, щоб попередити тисячі жертв та заблокувати шкідливу інфраструктуру на рівні провайдерів.

Незважаючи на ці успіхи, ідентифікація Stern підкреслює як досягнення, так і обмеження міжнародного правозастосування в сфері кіберзлочинності.

Наслідки для майбутніх тенденцій вимагачів

З оголошенням імені Stern екосистема вимагачів стикається з кількома потенційними змінами:

• Ризик фрагментації: Вакум влади часто призводить до виникнення нових груп, що ускладнює відстеження нових варіантів.
• Повторне використання інструментів: Кодова база Trickbot, яка тепер у відкритому доступі, може бути перепрофільована новими бандами.
• Підвищена атрибуція: Поліпшені колективні зусилля в сфері розвідки, ймовірно, прискорять ідентифікацію інших високопрофільних операторів.

Висновок

Виток інформації про Віталія Миколайовича Ковалева як Stern з боку BKA є важливим моментом у боротьбі з вимагачами. Хоча правові та дипломатичні перешкоди залишаються — особливо стосовно екстрадиції — ця ідентифікація свідчить про силу міжнародної співпраці та передових розслідувань шкідливого програмного забезпечення. Поки слідчі наближаються до наступного рівня керівництва в кіберзлочинності, галузь готується до наступної еволюції у війні з вимагачами.