Un ressortissant letton de 33 ans vivant à Moscou, en Russie, a été inculpé aux États-Unis pour avoir prétendument volé des données, extorqué des victimes et blanchi des rançons depuis août 2021.
Deniss Zolotarjovs (alias Sforza_cesarini) a été accusé de complot en vue de commettre un blanchiment d’argent, une fraude électronique et une extorsion en vertu de la loi Hobbs. Il a été arrêté en Géorgie en décembre 2023 et a depuis été extradé vers les États-Unis ce mois-ci.
« Zolotarjovs est membre d’une organisation cybercriminelle connue qui attaque les systèmes informatiques des victimes du monde entier », a déclaré le ministère américain de la Justice (DoJ) dit dans un communiqué de presse cette semaine.
« Le groupe de cybercriminalité russe vole notamment les données des victimes et menace de les divulguer si la victime ne paie pas une rançon en cryptomonnaie. Le groupe gère un site Web de fuites et d’enchères qui répertorie les entreprises victimes et propose le téléchargement des données volées. »
On pense que Zolotarjovs était un membre actif du groupe de cybercriminalité, collaborant avec d’autres membres du gang et blanchissant les paiements de rançon reçus des victimes.
Bien que le nom du syndicat de cybercriminalité n’ait pas été mentionné par le ministère de la Justice, une plainte du 28 novembre 2023 déposé Le tribunal de district américain a lié le défendeur à une équipe d’extorsion de données traquée sous le nom de Karakurt, qui est apparue comme un groupe dissident à la suite de la répression contre Conti en 2022.
« Analyse plus approfondie des communications de Sforza [on Rocket.Chat] « Il a indiqué que Sforza semblait être responsable de la conduite des négociations sur les extorsions de victimes non résolues de Karakurt, ainsi que des recherches open source pour identifier les numéros de téléphone, les e-mails ou d’autres comptes sur lesquels les victimes pouvaient être contactées et poussées à payer une rançon ou à reprendre une discussion avec le groupe de ransomware », a déclaré le Federal Bureau of Investigation (FBI).
« Sforza a également évoqué les efforts visant à recruter des journalistes rémunérés pour publier des articles sur les victimes afin de convaincre ces dernières de prendre au sérieux les demandes d’extorsion de Karakurt. »
Le FBI a noté dans sa plainte qu’il avait pu relier l’alias en ligne « Sforza_cesarini » à Deniss Zolotarjovs en traçant les transferts de Bitcoin effectués en septembre 2021 à partir d’un portefeuille de crypto-monnaie enregistré sur un compte iCloud d’Apple.
L’agence chargée de l’application de la loi a en outre déclaré qu’une partie des produits illicites avaient été blanchis via plusieurs adresses avant d’arriver à une adresse de dépôt associée à Garantex, en particulier un compte Bitcoin24.pro portant la même adresse e-mail, ce qui l’a incité à émettre un mandat de perquisition contre Apple en septembre 2023 pour obtenir les enregistrements associés à l’adresse e-mail.
D’après les informations partagées par le géant de la technologie, le FBI a déclaré que l’identifiant du compte de messagerie instantanée Rocket.Chat « Sforza_cesarini » a été « consulté par les mêmes adresses IP à peu près aux mêmes moments, à plusieurs reprises, que celles utilisées pour accéder à dennis.zolotarjov@icloud[.]com. »
Zolotarjovs est le premier membre présumé du groupe Karakurt à être arrêté et extradé vers les États-Unis, un exploit qui pourrait ouvrir la voie à l’identification et à la poursuite de membres supplémentaires à l’avenir.
« Les acteurs de Karakurt ont contacté les employés, les partenaires commerciaux et les clients des victimes avec des courriels et des appels téléphoniques de harcèlement pour faire pression sur les victimes afin qu’elles coopèrent », a déclaré le gouvernement américain. dit Dans un bulletin publié l’année dernière, « les courriels contenaient des exemples de données volées, telles que des numéros de sécurité sociale, des comptes de paiement, des courriels d’entreprises privées et des données commerciales sensibles appartenant à des employés ou à des clients. »