Une coalition d’agences chargées de l’application de la loi, coordonnée par l’Agence nationale britannique contre la criminalité (NCA), a conduit à l’arrestation et à l’extradition d’un ressortissant biélorusse et ukrainien soupçonné d’être associé à des groupes de cybercriminalité russophones.
Maksim Silnikau (alias Maksym Silnikov), 38 ans, était connu en ligne sous les pseudonymes JP Morgan, xxx et lansky. Il a été extradé vers les États-Unis depuis la Pologne le 9 août 2024 pour répondre à des accusations liées au piratage informatique international et à des fraudes électroniques.
« JP Morgan et ses associés sont des cybercriminels d’élite qui ont mis en œuvre une sécurité opérationnelle et en ligne extrême dans le but d’éviter la détection des forces de l’ordre », a déclaré la NCA. dit dans une déclaration.
Ces individus, a déclaré l’agence, étaient responsables du développement et de la distribution de souches de ransomware telles que Reveton et Ransom Cartel, ainsi que kits d’exploitation comme Angler. Reveton, lancé en 2011, a été décrit comme le « tout premier modèle commercial de ransomware en tant que service ».
Les victimes de Reveton ont reçu des messages prétendant provenir des forces de l’ordre, les accusant d’avoir téléchargé du matériel pédopornographique et des programmes protégés par le droit d’auteur et les menaçant de lourdes amendes pour éviter l’emprisonnement et accéder à leurs appareils verrouillés.
Entre 2012 et 2014, l’escroquerie a entraîné l’extorsion d’environ 400 000 dollars par mois aux victimes, les infections par Angler représentant un chiffre d’affaires annuel estimé à environ 34 millions de dollars à son apogée. On estime que jusqu’à 100 000 appareils ont été ciblés par le kit d’exploitation.
Silnikau, aux côtés de Volodymyr Kadariya et Andrei Tarasov, auraient été impliqués dans la distribution d’Angler et dans l’exploitation de techniques de malvertising d’octobre 2013 à mars 2022 pour diffuser du contenu malveillant et frauduleux conçu pour inciter les utilisateurs à fournir leurs informations personnelles sensibles.
Les informations volées, telles que les informations bancaires et les identifiants de connexion, ainsi que l’accès aux appareils compromis ont ensuite été proposés à la vente sur les forums de cybercriminalité russes sur le dark web.
« Silnikau et ses complices auraient utilisé des logiciels malveillants et diverses escroqueries en ligne pour cibler des millions d’internautes sans méfiance aux États-Unis et dans le monde entier », a déclaré le directeur adjoint du FBI, Paul Abbate. dit« Ils se sont cachés derrière des pseudonymes en ligne et se sont livrés à des opérations de cyberfraude complexes et de grande envergure pour compromettre les appareils des victimes et voler des informations personnelles sensibles. »
Cette opération criminelle a non seulement conduit des internautes sans méfiance à être redirigés de force vers des contenus malveillants à des millions de reprises, mais a également fraudé et tenté de frauder diverses sociétés basées aux États-Unis impliquées dans la vente et la distribution de publicités en ligne légitimes, a déclaré le ministère américain de la Justice (DoJ).
Parmi les méthodes utilisées pour diffuser des programmes malveillants, l’Angler Exploit Kit était particulièrement utilisé. Il exploitait les vulnérabilités des navigateurs Web et des plug-ins pour diffuser des publicités de type « scareware » qui affichaient des messages d’avertissement affirmant avoir trouvé un virus informatique sur les appareils des victimes et les avoir ensuite trompées en les incitant à télécharger des chevaux de Troie d’accès à distance ou à divulguer des informations d’identification personnelle ou financières.
« Pendant des années, les conspirateurs ont trompé les agences de publicité pour qu’elles diffusent leurs campagnes de malvertising en utilisant des dizaines de personnages en ligne et d’entités fictives pour se faire passer pour des agences de publicité légitimes », a déclaré le DoJ.
« Ils ont également développé et utilisé des technologies sophistiquées et du code informatique pour affiner leurs publicités malveillantes, leurs programmes malveillants et leur infrastructure informatique afin de dissimuler la nature malveillante de leur publicité. »
Un acte d’accusation distinct du district oriental de Virginie a également accusé Silnikau d’être le créateur et l’administrateur de la souche de ransomware Ransom Cartel à partir de mai 2021.
« À plusieurs reprises, Silnikau aurait distribué des informations et des outils aux participants du cartel des rançons, notamment des informations sur les ordinateurs compromis, telles que des identifiants volés, et des outils tels que ceux conçus pour crypter ou « verrouiller » les ordinateurs compromis », a noté le DoJ.
« Silnikau aurait également créé et maintenu un site Web caché où lui et ses co-conspirateurs pouvaient surveiller et contrôler les attaques de ransomware, communiquer entre eux, communiquer avec les victimes, notamment en envoyant et en négociant des demandes de paiement, et gérer la distribution des fonds entre les co-conspirateurs. »
Silnikau, Kadariya et Tarasov ont été accusés de complot en vue de commettre une fraude électronique, de complot en vue de commettre une fraude informatique et de deux chefs d’accusation de fraude électronique substantielle. Silnikau a également été accusé de complot en vue de commettre une fraude informatique et un abus, de complot en vue de commettre une fraude électronique, de complot en vue de commettre une fraude sur un dispositif d’accès et de deux chefs d’accusation de fraude électronique et de vol d’identité aggravé.
S’il est reconnu coupable de tous les chefs d’accusation, il risque plus de 50 ans de prison. Avant son extradition, il a été arrêté dans un appartement d’Estepona, en Espagne, en juillet 2023, dans le cadre d’un effort coordonné entre l’Espagne, le Royaume-Uni et les États-Unis.
« Leur impact va bien au-delà des attaques qu’ils ont eux-mêmes lancées », a déclaré le directeur adjoint de la NCA, Paul Foster. « Ils ont essentiellement été les pionniers des kits d’exploitation et des modèles de ransomware-as-a-service, qui ont permis aux gens de s’impliquer plus facilement dans la cybercriminalité et de continuer à aider les délinquants. »
« Il s’agit de cybercriminels extrêmement sophistiqués qui, pendant de nombreuses années, ont su masquer leur activité et leur identité. »