Имя человека, стоявшего за атакой на полмира, раскрыто. Но его руки до сих пор развязаны

Федеральное ведомство уголовной полиции Германии (BKA) впервые официально назвало настоящее имя человека, стоявшего за хакерскими группировками TrickBot и Conti. По данным следователей, под псевдонимом Stern скрывался 36-летний — некий К. Об этом ведомство сообщило на прошлой неделе, представив очередную часть результатов глобальной операции Endgame, в рамках которой власти десятков стран координируют действия против вредоносной киберинфраструктуры и ключевых игроков в её теневой экономике.

Немецкие следователи утверждают, что именно К. стоял у истоков TrickBot — группы, также известной под именем Wizard Spider. Эта организация использовала широкий арсенал вредоносных инструментов: от одноимённого банковского трояна Trickbot до загрузчиков BazarLoader и SystemBC, троянов IcedID и Diavol, а также программ-вымогателей Ryuk и Conti, нанёсших ущерб сотням организаций по всему миру.

Против хакера уже выдано красное уведомление Интерпола . Он официально обвиняется в руководстве преступным сообществом, хотя в документах BKA имя организации не указано напрямую. Фактически речь идёт о лидере транснационального киберпреступного синдиката, деятельность которого строилась по корпоративным принципам: с иерархией, проектной разбивкой, финансовой отчётностью и жёсткой управляемостью.

Это не первое появление мужчины в поле зрения правоохранительных органов. Ещё в феврале 2023 года его имя фигурировало в списке из семи человек, которых США обвинили в связях с TrickBot и Conti. Тогда он был представлен как один из руководителей группировки — под псевдонимами Bentley, Bergen, Alex Konor и Ben. Но роль лидера ему тогда приписана не была: лишь после новых утечек и анализов внутренней переписки стало ясно, кто именно управлял операциями.

Дело сильно прояснилось после публикации утечек, известных как TrickLeaks и ContiLeaks . Первая включала в себя персональные данные, учётные записи и контакты членов TrickBot. Вторая — исходный код и внутренние диалоги членов группировки Conti. В опубликованных сообщениях неоднократно упоминался Stern, которому другие участники направляли запросы на согласование атак, рекрутинг и даже оплату юридической помощи арестованным хакерам в США.

Эти данные не только раскрыли внутреннюю кухню группировки, но и фактически разрушили Conti: после публикации многие преступники покинули проект и разошлись по новым бандам. Среди них — такие громкие имена, как Royal, Black Basta, BlackCat, AvosLocker, Karakurt, LockBit, Silent Ransom, DagonLocker и ZEON. По сути, одна утечка децентрализовала одно из самых мощных киберпреступных формирований в истории.

В пятничном заявлении BKA подчёркивает масштаб и организационную зрелость TrickBot: на разных этапах группа насчитывала более 100 активных участников, работала по проектному принципу и была ориентирована исключительно на прибыль. География заражений охватывала сотни тысяч систем — как в Германии, так и по всему миру. Жертвами становились больницы, органы власти, коммерческие организации и частные лица. В результате атак преступники заработали суммы, оцениваемые в сотни миллионов евро.

Несмотря на многолетние усилия правоохранительных органов, местоположение К. до сих пор не установлено. BKA считает, что он, вероятно, находится в России, и призывает граждан и специалистов по информационной безопасности сообщать любую информацию, способную помочь в его розыске: от используемых им онлайн-аккаунтов до каналов связи и цифровых следов.

Операция Endgame , частью которой стало это расследование, остаётся одной из крупнейших международных инициатив по борьбе с инфраструктурой вредоносного ПО. Помимо TrickBot и Conti, в её рамках были также атакованы и ликвидированы сервера и домены, связанные с Danabot, Smokeloader и другими крупными кибер угрозами . Расследование продолжается, и власти явно делают ставку на системное разрушение логистики цифрового преступного мира — начиная с верхушки.