Nel mondo del crimine informatico, pochi nomi hanno generato tanto mistero quanto quello di "Stern", l'enigmatico leader del famigerato gruppo Trickbot. Per anni, mentre la sua organizzazione terrorizzava ospedali, scuole e aziende in tutto il mondo con attacchi ransomware devastanti, la sua vera identità è rimasta nell'ombra, protetta da strati di sicurezza operativa e dall'impenetrabilità del sottobosco criminale russo. Questo velo di segretezza è stato finalmente squarciato la scorsa settimana, quando le autorità tedesche hanno rivelato un nome e un volto: Vitaly Nikolaevich Kovalev, un cittadino russo di 36 anni, alto 1,80 metri, che secondo gli investigatori si trova attualmente in Russia, al riparo da qualsiasi tentativo di estradizione.
La polizia federale tedesca (Bundeskriminalamt, o BKA) e i procuratori locali hanno identificato Kovalev come il cervello dietro un'organizzazione criminale che ha orchestrato il furto di centinaia di milioni di dollari nell'arco di circa sei anni. Un'analisi approfondita di oltre 60.000 messaggi interni trapelati dai gruppi Trickbot e Conti, insieme alle informazioni ottenute durante l'operazione contro il malware Qakbot nel 2023, hanno fornito agli investigatori le prove necessarie per collegare definitivamente Kovalev all'identità online di Stern.
"L'identificazione di Stern rappresenta un evento significativo che colma importanti lacune nella nostra comprensione di Trickbot, uno dei gruppi criminali transnazionali più famigerati mai esistiti", afferma Alexander Leslie, analista di intelligence presso Recorded Future. "Come 'grande capo' di Trickbot e figura di spicco nel sottobosco criminale informatico russo, Stern è rimasto un personaggio sfuggente, e il suo vero nome è stato tabù per anni."
Ciò che rende particolarmente interessante questa rivelazione è che il nome di Kovalev era già emerso nel panorama della cybersicurezza, ma associato ad altri alias. All'inizio del 2023, sia gli Stati Uniti che il Regno Unito avevano sanzionato Kovalev come membro senior di Trickbot, identificandolo però con i nickname "ben" e "Bentley", senza mai menzionare alcun collegamento con l'identità di Stern. Gli Stati Uniti lo avevano anche incriminato per attività di hacking legate a frodi bancarie presumibilmente commesse nel 2010, inserendolo nella lista dei più ricercati.
Un portavoce della BKA ha dichiarato a WIRED: "Si è a lungo ipotizzato, sulla base di numerosi indizi, che 'Stern' fosse in realtà Kovalev. Le autorità investigative coinvolte nell'Operazione Endgame sono riuscite a identificare l'attore Stern come Kovalev solo durante le loro indagini di quest'anno". L'operazione Endgame è uno sforzo internazionale pluriennale per identificare e smantellare le infrastrutture criminali informatiche.
Secondo le informazioni trapelate dalle chat interne, Stern ha gestito Trickbot e Conti come un vero e proprio CEO, strutturando l'organizzazione come un'azienda legittima con circa 100 cybercriminali alle sue dipendenze. "Mentre certamente esistevano gruppi organizzati prima di Trickbot, Stern ha supervisionato un periodo del cybercrimine russo caratterizzato da un alto livello di professionalizzazione", spiega Leslie. "Questa tendenza continua oggi, viene riprodotta in tutto il mondo ed è visibile nella maggior parte dei gruppi attivi nel dark web."
La società di tracciamento delle criptovalute Chainalysis, pur declinando di commentare l'identificazione della BKA, ha sottolineato che la sola persona di Stern è uno degli attori ransomware più redditizi di tutti i tempi tra quelli monitorati. Il portavoce della BKA ha confermato a WIRED che "l'indagine ha rivelato che Stern ha generato entrate significative da attività illegali, in particolare in connessione con il ransomware."
Trickbot è emerso intorno al 2016, dopo che i suoi membri si sono allontanati dal malware Dyre, smantellato dalle autorità russe. Nel corso della sua esistenza, il gruppo Trickbot, che utilizzava il malware omonimo, insieme ad altre varianti di ransomware come Ryuk, IcedID e Diavol, ha progressivamente sovrapposto operazioni e personale con la gang Conti. All'inizio del 2022, Conti ha pubblicato una dichiarazione a sostegno dell'invasione russa dell'Ucraina, provocando la reazione di un ricercatore di cybersicurezza infiltrato che ha divulgato più di 60.000 messaggi dei membri di Trickbot e Conti.
Le prove emerse negli ultimi anni indicano che Stern potrebbe avere collegamenti con l'apparato di intelligence russo, incluso il Servizio Federale di Sicurezza (FSB). Nei messaggi trapelati, l'alias Stern menzionava la creazione di un ufficio per "argomenti governativi" nel luglio 2020, mentre altri membri del gruppo Trickbot hanno affermato che Stern è probabilmente il "collegamento tra noi e i ranghi/capi di dipartimento dell'FSB."
Keith Jarvis, ricercatore senior presso la Counter Threat Unit di Sophos, descrive Stern come qualcuno che "si circonda di persone molto tecniche, molte delle quali sostiene abbiano talvolta decenni di esperienza, ed è disposto a delegare compiti sostanziali a queste persone esperte di cui si fida. Penso che abbia sempre probabilmente vissuto in quel ruolo organizzativo."
La presenza costante di Stern è stata un contributo significativo all'efficacia di Trickbot e Conti, così come la capacità dell'entità di mantenere una forte sicurezza operativa e rimanere nascosta. Come ha dichiarato Jarvis: "Non ho pensieri sull'attribuzione, poiché non ho mai sentito una storia convincente sull'identità di Stern da nessuno prima di questo annuncio."
Nonostante l'identificazione da parte delle autorità tedesche, resta da vedere se Kovalev affronterà mai la giustizia. Con l'improbabilità di un'estradizione dalla Russia, e in assenza di dichiarazioni pubbliche di conferma da parte di altre agenzie come Europol, il Dipartimento di Giustizia degli Stati Uniti o il Ministero degli Esteri britannico, il capitolo finale della saga di Stern potrebbe rimanere incompiuto.