Хакер, YouTube и неудачный логин: история разоблачения лидера группировки Trickbot

В результате многомесячного расследования, проведенного WIRED , были раскрыты секреты группы по вымогательству Trickbot. Основываясь на утечке документов, журналисты смогли раскрыть личность одного из ключевых участников группы – Максима Сергеевича Галочкина.

41-летний Максим Галочкин активно общается в интернете, делясь своими мыслями о криптовалюте, музыке и кино. На первый взгляд он может показаться обычным офисным работником, однако на деле он является ключевым членом крупного киберпреступного синдиката Trickbot. Внутри организации коллеги знают Галочкина под псевдонимами Bentley и Manuel.

По данным Wired, Галочкин занимался в Trickbot финансовыми операциями, подписками на необходимые для атак сервисы и обфускацией (скрытием) вредоносного кода от антивирусов. Кроме того, Галочкин ранее носил фамилию Сипкин и поддерживал оппозицию. Позже он сменил фамилию на Галочкин и начал заниматься киберпреступностью.

Хакер также выражал свои амбиции стать миллионером и желание жить в США или Европе. В одной из переписок со своими коллегами он похвастался своим автомобилем Bentley Continental GT.

Исследователи смогли определить личность хакера после просмотра видео на YouTube -канале, посвященном криптовалютам. В этом ролике автор демонстрировал свой активный аккаунт в мессенджере Jabber. Тот же логин был замечен в сообщениях Bentley. Проанализировав информацию, связанной с YouTube-аккаунтом, специалисты изучили использование аналогичных логинов и паролей в других сервисах. В итоге эксперты вышли на Максима Галочкина из Абакана.

Расследование также раскрыло внутренние механизмы работы синдиката Trickbot, что позволило связать ключевых участников синдиката с более широким киберпреступным сообществом и выявить связи с другими преступными группировками.

Расследование началось в марте 2022 года, когда аккаунт в соцсети X под названием « Trickleaks » опубликовал переписки примерно 35 членов группы. Информация дала уникальное представление о размере и структуре группы Trickbot, которую исследователи оценивают в 100-400 человек, что делает Trickbot одной из крупнейших в мире групп киберпреступников.

Отметим также, что на данный момент Галочкин не был задержан или обвинен в киберпреступности. Его текущее местонахождение неизвестно.

В 2020 году американские правоохранительные органы совместно с ИБ-компаниями отключили большую часть C&C-инфраструктуры TrickBot. Хотя группировка лишилась 94% своих серверов, ботнет выжил и вернулся с новыми серверами уже через несколько дней, а через несколько недель начались новые атаки. В феврале, после нескольких месяцев простоя, операторы ботнета TrickBot отключили свою инфраструктуру .

В 2021 году власти США предъявили обвинения и задержали двух программистов TrickBot, однако руководство группировки осталось нетронутым. Группировка продолжала функционировать весь 2021 год до входа в состав Conti и перехода на новую кодовую базу.