Un ressortissant ukrainien a plaidé coupable aux États-Unis pour son rôle dans deux programmes malveillants différents, Zeus et IcedID, entre mai 2009 et février 2021.
Vyacheslav Igorevich Penchukov (alias Vyacheslav Igoravich Andreev, père et tank), 37 ans, a été arrêté par les autorités suisses en octobre 2022 et extradé vers les États-Unis l’année dernière. Il a été ajouté à la liste des personnes les plus recherchées par le FBI en 2012.
Le ministère américain de la Justice (DoJ) décrit Penchukov en tant que « leader de deux groupes prolifiques de logiciels malveillants » qui ont infecté des milliers d’ordinateurs avec des logiciels malveillants, conduisant à des ransomwares et au vol de millions de dollars.
Cela comprenait le cheval de Troie bancaire Zeus qui facilitait le vol d’informations sur les comptes bancaires, de mots de passe, de numéros d’identification personnels et d’autres détails nécessaires pour se connecter aux comptes bancaires en ligne.
Penchukov et ses complices, dans le cadre de la « vaste entreprise de racket » surnommée le gang Jabber Zeus, se sont ensuite fait passer pour des employés des victimes pour initier des transferts de fonds non autorisés.
Ils ont également utilisé des personnes résidant aux États-Unis et dans d’autres parties du monde comme « mules financières » pour recevoir les fonds transférés, qui ont finalement été acheminés vers des comptes à l’étranger contrôlés par Penchukov et al. Le successeur de Zeus fut démantelé en 2014.
Le prévenu a également été accusé d’avoir facilité des activités malveillantes en contribuant à mener des attaques impliquant le logiciel malveillant IcedID (alias BokBot) à partir d’au moins novembre 2018. Le logiciel malveillant est capable d’agir comme un voleur d’informations et un chargeur pour d’autres charges utiles, telles que des ransomwares.
En fin de compte, comme le souligne le journaliste d’investigation Brian Krebs signalé en 2022, il a réussi à échapper aux poursuites des enquêteurs ukrainiens en matière de cybercriminalité pendant de nombreuses années en raison de ses liens politiques avec l’ancien président ukrainien Victor Ianoukovitch.
Après son arrestation et son extradition, Penchukov a plaidé coupable à un chef d’accusation de complot en vue de commettre un acte d’organisation corrompue et influencée par des racketteurs (RICO) pour son rôle de leader dans le groupe Jabber Zeus. Il a également plaidé coupable à un chef d’accusation de complot en vue de commettre une fraude électronique pour son rôle de leader dans le groupe de logiciels malveillants IcedID.
Penchukov devrait être condamné le 9 mai 2024 et encourt une peine maximale de 20 ans de prison pour chaque chef d’accusation.
Cette évolution intervient alors que le ministère de la Justice a annoncé l’extradition des Pays-Bas d’un ressortissant ukrainien de 28 ans pour fraude, blanchiment d’argent et vol d’identité aggravé, au motif qu’il aurait exploité et fait la publicité d’un voleur d’informations connu sous le nom de Raccoon.
Mark Sokolovsky, qui a été arrêté par les autorités néerlandaises en mars 2022, a loué Raccoon à d’autres cybercriminels sur un modèle de malware en tant que service (MaaS) pour 200 $ par mois. C’est d’abord est devenu disponible en avril 2019.
« Ces individus ont utilisé diverses ruses, telles que le phishing par courrier électronique, pour installer le logiciel malveillant sur les ordinateurs de victimes sans méfiance », a déclaré le DoJ. dit.
« Le voleur d’informations Raccoon a ensuite volé des données personnelles sur les ordinateurs des victimes, notamment des informations de connexion, des informations financières et d’autres dossiers personnels. Les informations volées ont été utilisées pour commettre des délits financiers ou ont été vendues à d’autres sur des forums de cybercriminalité. »
Au moins 50 millions d’identifiants uniques et de formes d’identification ont été récoltés par le malware, selon les estimations du Federal Bureau of Investigation (FBI) des États-Unis.
L’arrestation de Sokolovsky s’est accompagnée d’un démantèlement coordonné de l’infrastructure numérique de Raccoon, mais un nouvelle version du voleur, appelé Briseur de recorda depuis émergé à l’état sauvage.
Il a été inculpé d’un chef d’accusation de complot en vue de commettre une fraude et d’activités connexes en rapport avec des ordinateurs, d’un chef d’accusation de complot en vue de commettre une fraude électronique, d’un chef d’accusation de complot en vue de commettre du blanchiment d’argent et d’un chef d’usurpation d’identité aggravée.