a.k.a stern, ben, Grave, vincent, bentley, Bergen, Alex Konor — Виталий Николаевич Ковалев

[INC.]

Федеральное управление уголовной полиции Германии (BKA) установило личность лидера хакерских группировок Trickbot и Conti под псевдонимом Stern — им оказался 36-летний россиянин Виталий Ковалев. Его объявили в розыск по обвинению в создании преступной организации. Предположительно фигурант скрывается в РФ.

В феврале 2023 года Ковалев был одним из семи человек, подвергшихся санкциям США за связь с TrickBot и Conti. Тогда его называли высокопоставленной фигурой в группировках.

• Source: https://www.bka[.]de/DE/IhreSicherheit/Fahndungen/Personen/BekanntePersonen/Endgame_2/KVN/Sachverhalt.html

ДЕТАЛЬНАЯ ИНФОРМАЦИЯ ДЛЯ РОЗЫСКА

фамилия: КОВАЛЕВ
имя и отчество: Виталий Николаевич
он же: stern, ben, Grave, vincent, bentley, Bergen, Alex Konor
дата рождения: 23.06.1988
место рождения: Российская Федерация
гражданство: Россия
пол: мужской
язык: русский

ДАЛЬНЕЙШАЯ ИНФОРМАЦИЯ О ДАННОМ РОЗЫСКЕ

время: с 2016 года

Место совершения преступления: разные, во всём мире

Обвиняемый подозревается в том, что он являлся членом группировки «Trickbot», также известной под названием «Wizard Spider».

Деятельность данной группировки началась не позднее чем в 2016 году. Группировка применяла разные варианты малварьи, в том числе дающую название малварь Trickbot, чтобы заражать компьютерные системы, похищать конфиденциальные данные и в многочисленных случаях дополнительно загружать так называемую малварь Ransomware, которая позволяла шифрование систем и вымогательство выкупа за расшифровку, подлежащего уплате в криптовалютах.

Наряду с вредоносной программой Trickbot, группировка, между прочим, также применяла такие варианты малварьи как Bazarloader, SystemBC, IcedID, Ryuk, Conti и Diavol.

Согласно расследованиям БКА, группировка Trickbot временно состояла из свыше 100 членов и работает организованно, с иерархическим расчленением, а также с ориентировкой на проекты и прибыль.

Данная группировка отвечает за заражение нескольких сотен тысяч систем в Германии и во всём мире, и посредством своей нелегальной деятельности приобрела денежные суммы в пределах сотен миллионов евро. Жертвами являются больницы, общественные учреждения, предприятия, ведомства и частные лица. В одной только Германии группировка причинила ущерб в размере не менее 6,8 миллионов евро.

Предполагается, что разыскиваемый проживает в Российской Федерации.

Актуальное место пребывания разыскиваемого неизвестно.

• Source: https://www.bka[.]de/DE/IhreSicherheit/Fahndungen/Personen/BekanntePersonen/Endgame_2/KVN/Russisch.pdf?__blob=publicationFile&v=1

*****​

ПОЛЕВОЙ ОФИС СЕКРЕТНОЙ СЛУЖБЫ США: Ньюарк / Штаб-квартира — отдел киберрасследований

КРАТКОЕ ИЗЛОЖЕНИЕ ДЕЛА

В феврале 2012 года федеральное большое жюри присяжных в округе Нью-Джерси предъявило Виталию Николаевичу Ковалеву обвинение в сговоре с целью совершения банковского мошенничества и в восьми эпизодах банковского мошенничества в связи с серией взломов банковских счетов жертв в различных финансовых учреждениях США, произошедших в 2009 и 2010 годах.

Как утверждается в обвинительном заключении, Ковалев и его сообщники смогли получить несанкционированный доступ к счетам, открытым как минимум в трёх различных финансовых учреждениях в США. Получив доступ к счетам, Ковалев и другие лица осуществили несанкционированный перевод средств на другие банковские счета, открытые по указанию Ковалева исключительно с целью получения украденных средств. Затем средства были сняты или переведены с этих счетов по указанию Ковалева. В общей сложности Ковалев и его сообщники смогли без разрешения перевести со счетов жертвы почти 1 миллион долларов.

Делом занимается прокуратура США в Нью-Джерси. Помимо уголовных обвинений, Управление по контролю за иностранными активами Министерства финансов США (OFAC) ввело санкции против Ковалева в связи с его положением в качестве высокопоставленного сотрудника организации, создавшей троянец Trickbot.

• Source: https://www.secretservice[.]gov/investigations/mostwanted/kovalev

• Пресс-релиз Секретной службы США: https://www.secretservice[.]gov/newsroom/releases/2023/02/russian-national-charged-bank-fraud-related-hacking-campaign

• Обвинительное заключение: https://www.justice[.]gov/usao-nj/pr/russian-national-charged-bank-fraud-related-hacking-campaign

• Санкции OFAC: https://home.treasury[.]gov/news/press-releases/jy1256

 

[Rehub]

source: https://t.me/RansomHunter_RU

 

[Rehub]

Международная полицейская операция выявила, но не арестовала разработчиков одних из самых успешных программ-вымогателей.

Лицо этого человека было известно немногим. Даже имя — и то скрывалось за псевдонимами Stern или Ben. Однако в результате недавней международной полицейской операции личность Виталия Николаевича Ковалёва, 36-летнего руководителя одной из крупнейших в мире киберпреступных сетей под названием Conti, была раскрыта. Ковалёв специализируется на вымогательском ПО (ransomware) — программах, которые блокируют доступ к компьютерам и требуют выкуп за их разблокировку.

Именно с его компьютеров распространялся Trickbot — один из самых активных вирусов, особенно часто встречающийся в Испании, и, по оценкам, он мог повлиять на 4% всех компаний в мире. Полиция США и Германии считает, что Ковалёв живёт в Москве, где зарегистрировал на себя несколько фирм. Его криптокошелёк, по данным следствия, содержит около 1 миллиарда долларов.

Conti — кибергруппа, работающая как IT-компания.​

По данным Федерального уголовного ведомства Германии (BKA), группировка Conti насчитывала более 100 участников, действовала иерархично, с ориентацией на прибыль и управление по проектам. Она заразила сотни тысяч систем по всему миру и заработала сотни миллионов евро. В числе жертв — государственные учреждения, компании и частные лица. В 2020 году, разгар пандемии, они атаковали несколько больниц в США, требуя выкуп в размере $10 миллионов.

Аналитическая компания Check Point Research, получившая доступ к внутренним документам (предположительно, от осведомителя), выяснила, что Conti была организована как технологическая фирма.
У них была чёткая структура с руководителями команд, HR-отделом, зарплатами в биткойнах и бонусами "сотруднику месяца". У группировки даже имелись физические офисы.

Персонал они нанимали как через тёмный веб, так и через анализ украденных резюме. В штате были программисты, криптографы, системные администраторы, специалисты по разведке и переговорщикам. Некоторые сотрудники не знали, что работают на киберпреступников, подчёркивает Check Point. В одном из интервью, полученном аналитиками, "менеджер" объясняет кандидату: «У нас всё анонимно, мы занимаемся тестами на проникновение (penetration testing)».

Qakbot и Danabot: трояны нового поколения.​

Ковалёв и ещё 35 предполагаемых участников были идентифицированы в рамках операции Endgame (Конец игры). Они обвиняются в разработке вирусов Qakbot и Danabot, одних из самых опасных инструментов в кибермире. Следствие велось много лет, при участии силовых структур из США, Великобритании, Канады, Германии, Франции, Дании и Нидерландов.

Qakbot
Один из самых старых банковских троянов, активен с 2007 года, постоянно модернизировался: крал учётные данные, письма, распространял вымогательское ПО (например, Conti или REvil). Использовался в атаках на госструктуры и банки в США и Европе, вызвав многомиллионные убытки и сбои в работе критической инфраструктуры.

Хотя в 2023 году считалось, что Qakbot уничтожен, вскоре появилась новая версия. Вирус маскируется под легитимное программное обеспечение и, например, приходит по электронной почте якобы от банка. После установки он незаметно крадёт пароли и может захватить контроль над устройством.

Danabot
Появился в 2018 году. Распространяется по модели “malware-as-a-service” (вредоносное ПО как услуга) — позволяет любому желающему (даже без технических знаний) арендовать вирус и атаковать цели. Использовался, в частности, в DDoS-атаке на Министерство обороны Украины вскоре после начала войны. Этот вирус применялся как в финансовых мошенничествах, так и для поддержки геополитических интересов России, поясняет эксперт CrowdStrike Адам Мейерс.

Удар по инфраструктуре.​

В рамках операции Endgame:

• ликвидированы 300 серверов
• отключены 650 доменов
• изъяты свыше 3 млн евро в криптовалюте

Поскольку Qakbot и Danabot предоставлялись как сервис, их отключение ударило и по другим преступникам, которые использовали эти инструменты.

Однако, как поясняет эксперт FortiGuard Labs Гери Ревай, ликвидация инфраструктуры ≠ конец банды. Большинство из 36 идентифицированных участников живут в России, которая не выдаёт граждан и не сотрудничает с Интерполом, Европолом или ФБР. Из них:

• 20 находятся в международном розыске
• ещё 16 обвиняются Минюстом США

Как отметил инженер безопасности Check Point Рафаэль Лопес, поймать таких преступников трудно, пока они не ошибутся. Например, одного из лидеров Lockbit арестовали в прошлом году в Испании, когда тот прилетел на отдых.

Россия — щит и убежище​

Москва защищает таких преступников, поскольку те проводят кибератаки в интересах государства, как видно на примере войны в Украине. Даже если кого-то арестуют, группы часто возрождаются под новыми именами.

Тем не менее, правоохранители считают, что публичное раскрытие их личностей уже наносит ущерб: они больше не могут свободно передвигаться и теряют анонимность.

«Сегодняшнее заявление Минюста — это чёткий сигнал хакерам», — заявил 22 мая глава уголовного департамента Минюста США Мэттью Р. Галлеоти.
«Мы используем все возможные правовые инструменты, чтобы идентифицировать, судить, конфисковать доходы и разрушать их схемы».

А пока США и их союзники продолжают охоту, Виталий Ковалёв спокойно живёт в Москве как миллиардер, руководящий корпоративной киберпреступностью.

elpais.com/tecnologia/2025-06-26/vitalii-kovalev-el-hacker-ruso-que-tiene-oficinas-y-reparte-bonus-entre-sus-empleados.html

 

[Фантомас]

Так вот, оказывается про кого эта поговорка: "Нет ничего святого, кроме аппетита". Про кураторов из ФСБ, которые тоже хорошо покушали из больничек )