Durante anos, membros do cartel de cibercrime russo Trickbot desencadearam uma onda implacável de hacking no mundo. O grupo atacou milhares de vítimas, incluindo empresas, escolas e hospitais. “Foda-se clínicas nos EUA esta semana”, escreveu um membro em mensagens internas do Trickbot em 2020 sobre uma lista de 428 hospitais a serem alvo. Orquestrado por um líder enigmático que usava o pseudônimo “Stern”, o grupo de cerca de 100 cibercriminosos roubou centenas de milhões de dólares ao longo de aproximadamente seis anos.
Apesar de uma onda de interrupções por parte das autoridades e um vazamento prejudicial de mais de 60.000 mensagens de chat internas do Trickbot e do grupo parceiro Conti, a identidade de Stern permaneceu um mistério. Na semana passada, no entanto, a agência federal de polícia da Alemanha, o Bundeskriminalamt ou BKA, e promotores locais alegaram que o nome real de Stern é Vitaly Nikolaevich Kovalev, um homem russo de 36 anos e 1,80 m de altura, que a polícia acredita estar em seu país natal e, portanto, protegido de uma possível extradição.
Um aviso vermelho recentemente emitido pela Interpol diz que Kovalev é procurado pela Alemanha por supostamente ser o “líder” de uma “organização criminosa”.
“A nomeação de Stern é um evento significativo que preenche lacunas em nossa compreensão do Trickbot—um dos grupos de cibercrime transnacional mais notórios que já existiram”, diz Alexander Leslie, analista de inteligência de ameaças da empresa de segurança Recorded Future. “Como o ‘grande chefe’ do Trickbot e uma das figuras mais notáveis no submundo cibercriminoso russo, Stern permaneceu um personagem elusivo, e seu nome real foi tabu por anos.”
Stern, notavelmente, pareceu estar ausente de várias rodadas de sanções e acusações ocidentais nos últimos anos que mencionavam membros alegados do Trickbot e Conti. Leslie e outros pesquisadores há muito especulam para a WIRED que as autoridades globais podem ter estrategicamente retido a suposta identidade de Stern como parte de investigações em andamento. Kovalev é suspeito de ser o “fundador” do Trickbot e supostamente usou o pseudônimo Stern, disse o BKA em um anúncio online.
“Sempre se presumiu, com base em inúmeras indicações, que ‘stern’ é de fato ‘Kovalev'”, diz um porta-voz do BKA em respostas escritas a perguntas da WIRED. Eles acrescentam que, “as autoridades investigativas envolvidas na Operação Endgame só conseguiram identificar o ator stern como ‘Kovalev’ durante sua investigação este ano”, referindo-se a um esforço internacional de vários anos para identificar e interromper a infraestrutura cibercriminosa, conhecido como Operação Endgame.
O porta-voz do BKA também observa em declarações escritas à WIRED que as informações obtidas através de uma investigação de 2023 sobre o malware Qakbot, bem como a análise dos chats vazados do Trickbot e Conti de 2022, foram “úteis” para fazer a atribuição. Eles acrescentaram também que a “avaliação também é compartilhada por parceiros internacionais”.
O anúncio da Alemanha é a primeira vez que autoridades de qualquer governo alegam publicamente uma identidade para um suspeito por trás do pseudônimo Stern. Como parte da Operação Endgame, a atribuição de Stern pelo BKA vem, por sua natureza, no contexto de uma colaboração de aplicação da lei multinacional. Mas, ao contrário de outras atribuições relacionadas ao Trickbot e Conti, outros países não concordaram publicamente com a identificação de Stern pelo BKA até agora. A Europol, o Departamento de Justiça dos EUA, o Tesouro dos EUA e o Escritório de Relações Exteriores, Commonwealth e Desenvolvimento do Reino Unido não responderam imediatamente aos pedidos de comentários da WIRED.
Vários pesquisadores de cibersegurança que acompanharam o Trickbot extensivamente dizem à WIRED que não estavam cientes do anúncio. Uma conta anônima na plataforma de mídia social X recentemente afirmou que Kovalev usou o pseudônimo Stern e publicou supostos detalhes sobre ele. A WIRED enviou mensagens para várias contas que supostamente pertencem a Kovalev, de acordo com a conta do X e um banco de dados de registros hackeados e vazados compilado pelo District 4 Labs, mas não obteve resposta.
Enquanto isso, o nome e a face de Kovalev podem já ser surpreendentemente familiares para aqueles que têm acompanhado as recentes revelações sobre o Trickbot. Isso porque Kovalev foi sancionado conjuntamente pelos Estados Unidos e Reino Unido no início de 2023 por seu suposto envolvimento como membro sênior do Trickbot. Ele também foi acusado nos EUA na época de hacking ligado a fraudes bancárias supostamente cometidas em 2010. Os EUA o adicionaram à sua lista de mais procurados. Em toda essa atividade, no entanto, os EUA e o Reino Unido vincularam Kovalev aos pseudônimos “ben” e “Bentley”. As sanções de 2023 não mencionaram uma conexão com o pseudônimo Stern. E, de fato, a acusação de Kovalev em 2023 foi principalmente notável porque seu uso de “Bentley” como pseudônimo foi determinado como “histórico” e distinto do de outro membro chave do Trickbot que também usava o nome “Bentley”.
O grupo de ransomware Trickbot surgiu pela primeira vez por volta de 2016, depois que seus membros se mudaram do malware Dyre, que foi interrompido pelas autoridades russas. Ao longo de sua vida útil, o grupo Trickbot—que usou seu malware homônimo, juntamente com outras variantes de ransomware como Ryuk, IcedID e Diavol—sobrepôs-se cada vez mais em operações e pessoal com a gangue Conti. No início de 2022, a Conti publicou uma declaração apoiando a invasão em grande escala da Rússia na Ucrânia, e um pesquisador de cibersegurança que havia infiltrado os grupos vazou mais de 60.000 mensagens de membros do Trickbot e Conti, revelando um enorme tesouro de informações sobre suas operações e estrutura do dia a dia.
Stern atuou como um “CEO” dos grupos Trickbot e Conti e os administrou como uma empresa legítima, mostram mensagens de chat vazadas analisadas pela WIRED e pesquisadores de segurança.
“O Trickbot estabeleceu o molde para o moderno modelo de negócios cibercriminoso ‘como serviço’ que foi adotado por inúmeros grupos que se seguiram”, diz Leslie da Recorded Future. “Embora houvesse certamente grupos organizados que precederam o Trickbot, Stern supervisionou um período de cibercrime russo que foi caracterizado por um alto nível de profissionalização. Essa tendência continua hoje, é reproduzida em todo o mundo e é visível na maioria dos grupos ativos na dark web.”
A eminência de Stern dentro do cibercrime russo foi amplamente documentada. A empresa de rastreamento de criptomoedas Chainalysis não nomeia publicamente atores cibercriminosos e se recusou a comentar sobre a identificação do BKA, mas a empresa enfatizou que a persona Stern sozinha é um dos atores de ransomware mais lucrativos que rastreia.
“A investigação revelou que Stern gerou receitas significativas de atividades ilegais, em particular em conexão com ransomware”, diz o porta-voz do BKA à WIRED.
“Stern se cerca de pessoas muito técnicas, muitas das quais ele afirma ter às vezes décadas de experiência, e ele está disposto a delegar tarefas substanciais a essas pessoas experientes que ele confia”, diz Keith Jarvis, um pesquisador sênior de segurança da unidade de Contra-Ameaças da empresa de cibersegurança Sophos. “Acho que ele sempre viveu nesse papel organizacional.”
Evidências crescentes nos últimos anos indicaram que Stern tem pelo menos algumas conexões soltas com o aparato de inteligência da Rússia, incluindo sua principal agência de segurança, o Serviço Federal de Segurança (FSB). O pseudônimo Stern mencionou a criação de um escritório para “temas governamentais” em julho de 2020, enquanto pesquisadores viram outros membros do grupo Trickbot dizer que Stern é provavelmente o “vínculo entre nós e os tipos de chefia no FSB.”
A presença consistente de Stern foi uma contribuição significativa para a eficácia do Trickbot e Conti—assim como a capacidade da entidade de manter uma forte segurança operacional e permanecer oculta.