Майже рік тому, у серпні 2020 року, Міністерство юстиції висунуло звинувачення та видало ордери на арешт низці зловмисників, які керували ботнетом Trickbot. Цей ботнет атакував мільйони комп’ютерних систем по всьому світу. Ймовірно, це було не випадково, адже протягом наступного місяця Кіберкомандування США та Microsoft окремо завдали стратегічних ударів по Trickbot.
2021 рік розпочався з кількох значних перемог міжнародних правоохоронних органів. По-перше, в січні в Україні було затримано недбалого адміністратора одного з компонентів розповсюдження вірусів Trickbot-Emotet. Потім у лютому відбувся арешт розробника платформи Trickbot і елементів програм-вимагачів і, мабуть, однієї з найбільш незвичайних загрозливих персонажів сучасності – Макса, який насправді мав (точніше, мала) ім'я Алла Вітте.
Служба аналізу загроз Hold Security відстежує багато груп загроз і програм-вимагачів, тому після кількох місяців спостереження за розгортанням історії Алли Вітте ми хочемо поділитися додатковою інформацією про цю надзвичайно цікаву особу.
Хто така Алла Вітте?
У 1965 році в радянському місті Ростові-на-Дону, що нині входить до складу Росії, народилася Алла Клімова. Перед розпадом Радянського Союзу, у 1983 році, вона переїхала до Риги (Латвія) щоб вивчати прикладну математику в Латвійському університеті, де вона залишалася протягом кількох років після того, як Латвія стала незалежною країною.
Вона займала кілька цікавих посад, таких як менеджер з продажу та вчитель, але її пристрастю протягом усього життя було програмування. У численних дописах на різних російськомовних форумах Алла Клімова зізнається, що її інтереси до техніки проявилися в більш пізньому віці. У 2004 році вона влаштувалася на роботу в голландську AOSH EU, а в 2007 році, вийшовши заміж, вже маючи прізвище Вітте, переїхала до Амстердама.
Разом зі своїм чоловіком пані Вітте подорожує світом, насолоджуючись життям. В подальшому її родина переїхала до південноамериканської країни Суринам.
Якщо ви подивитеся на публічну частину професійного життя Алли Вітте, ви можете захопитися її пристрастю до технологій, підприємницькою діяльністю та захистом свого життєвого покликання.
У 2013 році вона пише: «Я хочу бути чудовим програмістом, здатним створювати ексклюзивні рішення та подорожувати до клієнтів у різних країнах. Я працюю на себе та клієнтів величезну кількість часу, тому що я можу це робити, тому я це роблю».
Рідною російською мовою на багатьох платформах вона дає поради новачкам, переглядає навчальні матеріали, публічно дякує тим, хто їй допоміг.
«Ви абсолютно праві, що ви повинні виключити зі свого життя тих, хто намагається довести, що ви нічого не доб'єтеся». Алла Вітте пише в коментарях до відео з порадами шукачам роботи. «Я все чула – ти занадто старий для такої роботи… Загалом, я спілкувалася через Інтернет з кількома людьми, які підтримали мене або дали професійні поради…»
Алла Вітте – фрілансер
Ми встановили безліч різноманітних інтернет-спільнот, де Алла Вітте рекламувала свої послуги фрілансера-розробника. З 2012 року вона заробляла на життя розробником за наймом, завершивши низку проектів і отримавши позитивні відгуки за свою роботу.
«Алла – чудова виконавиця! Дуже подобається з нею працювати, все зроблено якісно…»
Вона мріяла не лише створювати функціональні веб-сторінки, а й витвори мистецтва. Вона навіть створила власний веб-сайт allawitte.nl, щоб продемонструвати свої навички розвитку за допомогою зразків розробки від програми нерухомості до служби таксі. Можливо, банда Trickbot знайшла пані Вітте та залучила її до групи через один із цих веб-сайтів фрілансерів або через рекомендації клієнтів.
Алла Вітте - кіберзлочинець
Алла Вітте не виглядає злочинницею, все в її характері і рисах робить її милою людиною. Дехто може навіть вважав, чи якісь правопорушники спритно підставили цю милу жінку. Ми хочемо запевнити вас, що Алла Вітте має й інший бік, де вона діяла свідомо та зловмисно як частина банди Trickbot.
У ряді своїх постів у соцмережах Алла Вітте згадує когось із близького оточення (можливо, чоловіка) на ім’я Макс. Використовуючи цей псевдонім всередині банди, вона витрачає час на розробку шкідливого програмного забезпечення, що працює з ботнетами та компонентами програм-вимагачів. Оскільки вона, як правило, технічно підкована та пунктуальна, їй дозволили працювати над деякими критичними компонентами Trickbot.
Незважаючи на те, що вона є розробником і частиною кібербанди, коли справа доходить до операційної безпеки, Алла Вітте є невдахою. Багато кіберзлочинців мають профілі в соціальних мережах, деякі з них дуже активні та комунікабельні, але змішувати публічний профіль і нечесну діяльність – ні-ні.
ЇЇ помилки у кібербезпеці настільки кричущі, що факт її затримання правоохоронними органами не виглядає дивним. У січні 2020 року Алла навіть використовувала свій особистий веб-сайт для розповсюдження зловмисного програмного забезпечення Trickbot, як повідомив у Twitter @gorimpthon.
Багато в банді знали не тільки її стать, але й ім’я. У кількох учасників групи були папки AllaWitte з даними. До Алли вони звертаються майже так, як до матерів, тому її арешт сприйняли набагато серйозніше, ніж арешт адміністратора Емотет.
Можливо, найбільша помилка сталася на Різдво 2019 року, коли Алла Вітте заразила один зі своїх власних комп’ютерів шкідливим програмним забезпеченням Trickbot, що дозволило йому викрасти та зареєструвати її дані в інтерфейсі ботнету. Окрім повторного використання пароля, дані показують чудове уявлення про її професійне та особисте використання Інтернету.
Висновок
Алла (Клімова) Вітте не є злочинним натхненником і не є звичайним кіберзлочинцем. Її публічний профіль є джерелом натхнення для розробників, які долають бар’єри сексизму та віку. Однак, як частина банди Trickbot, вона повинна служити живим попередженням для осіб, які вважають, чи варто переходити на темну сторону.
Trickbot перебудовується та розширюється далеко за межі своєї поточної оболонки. Дії, вжиті міжнародними правоохоронними органами, мають голосно та чітко дати зрозуміти, що це членство у банді буде мати серйозні наслідки.
Натисніть тут, щоб дізнатися більше про можливості Hold Security Dark Web Monitoring.