În era evoluției rapide a fenomenelor de criminalitate informatică, cazul hackerului rus Vitalii Nikolaevici Kovalev, de 36 de ani, ridică semne de întrebare majore. Liderul grupării infracționale Conti, specializată în atacuri ransomware, nu se ascunde în obscuritate, ci trăiește în Moscova ca un magnat, coordonând operațiunea sa cibernetică cu eficiența unei companii tehnologice: deține spații de birouri, angajează personal plătit în monede digitale, are manageri și șefi de echipă, oferind chiar bonusuri lunare.
Grupul Conti nu este doar o organizație infracțională, ci o adevărată corporație în subteranul internetului, cu peste 100 de membri activi și o structură care rivalizează cu orice startup de succes. Investigatiile arată că, uneori, angajații nu sunt conștienți de implicarea lor într-o operațiune infracțională. Recrutarea se face pe internetul ascuns, dar și prin obținerea de CV-uri furate, implicând uneori persoane nevinovate.
Vitalii Nikolaevici Kovalev Foto: Libertatea
Conti a devenit sinonim cu disfuncționalitatea digitală: instituții guvernamentale și spitale din Statele Unite au fost paralizate în 2020, iar impactul global al atacurilor a depășit sute de milioane de euro. Unul dintre instrumentele malware cele mai dăunătoare utilizate de grup, Trickbot, a afectat 4% dintre companiile la nivel mondial, potrivit ziarului El Pais.
Malware ca model de afaceri: Qakbot și Danabot în slujba profitului și a geopoliticii
Periculositatea rețelei este sporită de adaptabilitatea sa. Kovalev, cunoscut online sub pseudonimele Sten și Ben, deține un portofoliu cripto estimat la un miliard de dolari și stă în spatele dezvoltării unor instrumente malware devastatoare: Qakbot și Danabot.
Qakbot, activ încă din 2007, este utilizat pentru furtul de date și distribuirea de ransomware. După o perioadă aparentă de neutralizare în 2023, a reapărut rapid, demonstrând capacitățile tehnice sofisticate ale grupării. Mecanismul este simplu, dar eficient: victima primește un email care seamănă cu un mesaj bancar, accesează un link malițios, declanșând astfel un calvar. Tranzacții necunoscute, blocarea sistemului, cereri de răscumpărare.
Danabot, activ din 2018, funcționează după modelul malware-as-a-service, permițând oricui să îl utilizeze fără cunoștințe tehnice avansate. Acest program a fost folosit nu doar pentru fraude financiare, ci și în scopuri geopolitice; acesta fiind inclusiv utilizat într-un atac DDoS asupra Ministerului Apărării Ucrainean, în urma invaziei ruse.
Conform experților în securitate de la CrowdStrike, acest caz este un exemplu clar cum rețelele criminale informatice nu mai servesc doar interese financiare, ci pot deveni instrumente ale influenței statale.
Rețeaua s-a dezintegrat, dar liderii rămân neprinși
După ani de investigații și colaborări între agenții din diverse țări, rețeaua a fost parțial destructurată. În cadrul operațiunii Endgame, autoritățile au emis mandate internaționale de arestare, iar alți suspecți au fost acuzați de Departamentul de Justiție al Statelor Unite. Cu toate acestea, majoritatea persoanelor identificate se află în Rusia, o țară care nu extrădează cetățeni.
Această situație complică aplicarea legii. Chiar dacă infrastructura lui Conti a fost dezmembrată, riscul rămâne: tehnologia poate fi readusă în funcțiune, rețeaua poate reînvia sub o altă formă, iar fondurile substanțiale din monede digitale permit reconstrucția operațiunii.
În acest context, cazul lui Kovalev devine un exemplu despre cum criminalitatea organizată s-a transformat într-o industrie digitală. Dacă anterior liderii infractorilor operau în umbră, astăzi aceștia trăiesc ca antreprenori, beneficiind de potențiale protecții politice și utilizând tehnologii moderne în scopuri ilegale.
Criminalitatea cibernetică nu este un simplu război între hackeri și specialiști în securitate ci un domeniu funcțional cu o ierarhie, salarii și consecințe geopolitice.
