Arrestation et extradition du boss de groupes de cybercriminalité prolifiques

Une opération internationale coordonnée par la National Crime Agency (NCA) a conduit à l’arrestation et à l’extradition d’un homme soupçonné d’être l’un des cybercriminels russophones les plus prolifiques au monde.

✨ LES INFOS DE LA SEMAINE, CHAQUE SAMEDI, PAR COURRIEL ! ✨
✨ Ne manquez rien ! Abonnez-vous et restez informé ! ✨

Depuis 2015, la NCA enquête sur le pseudonyme en ligne « J.P. Morgan » et son réseau criminel, avec des enquêtes parallèles menées par le United States Secret Service (USSS) et le FBI. J.P. Morgan et ses associés sont des cybercriminels d’élite qui ont pratiqué une sécurité opérationnelle et en ligne extrême dans le but d’échapper aux autorités.

Les spécialistes de la cybercriminalité de la NCA, travaillant en étroite collaboration avec des partenaires internationaux, ont identifié les individus réels responsables de plusieurs pseudonymes en ligne de grande envergure, y compris J.P. Morgan, et ont réussi à les suivre et à les localiser alors qu’ils tentaient d’échapper à la détection à travers l’Europe.

Les enquêteurs ont établi que ces individus étaient responsables du développement et de la distribution de célèbres souches de ransomware, notamment Reveton et, plus récemment, Ransom Cartel [Arvin, plus actif depuis 2023], ainsi que de kits d’exploitation, tels qu’Angler, qui ont extorqué des dizaines de millions de victimes dans le monde entier.

Arrestation et extradition de Silnikau

Le 18 juillet 2023, suite à des accusations portées aux États-Unis contre plusieurs individus, une journée d’action coordonnée a eu lieu au cours de laquelle la Guardia Civil, soutenue par la NCA et les officiers américains, a arrêté Maksim Silnikau, 38 ans, également connu sous le nom de Maksym Silnikov, dans un appartement à Estepona, en Espagne.

Silnikau, originaire de Biélorussie, est soupçonné d’avoir utilisé le pseudonyme J.P. Morgan, ainsi que d’autres pseudonymes notoires au sein de la communauté cybercriminelle, notamment « xxx » et « lansky ». Le vendredi 9 août 2024, Silnikau a été extradé de Pologne vers les États-Unis pour faire face à des accusations liées à des infractions de cybercriminalité.

Vladimir Kadariya, 38 ans, originaire de Biélorussie, et Andrei Tarasov, 33 ans, originaire de Russie, sont également accusés aux États-Unis d’avoir joué des rôles clés dans le groupe criminel de J.P. Morgan.

Voiture saisie. – Image : NCA

Les origines de J.P. Morgan et de son réseau criminel

Les activités criminelles de J.P. Morgan remontent à au moins 2011, lorsqu’il a introduit, avec ses associés, Reveton, le tout premier modèle de ransomware en tant que service (RaaS). Ces services offrent une suite d’outils permettant aux délinquants peu qualifiés de lancer des attaques de ransomware efficaces moyennant des frais, réduisant ainsi considérablement la barrière à l’entrée dans la cybercriminalité.

Les victimes de Reveton recevaient des messages prétendant provenir des forces de l’ordre, avec une notification qui bloquait leur écran et leur système, les accusant de télécharger du contenu illégal tel que des images d’abus sur enfants ou des programmes sous copyright.

Reveton pouvait détecter l’utilisation d’une webcam et prendre une image de l’utilisateur pour accompagner la notification avec une demande de paiement. Les victimes étaient alors contraintes de payer de lourdes amendes par peur d’emprisonnement ou pour retrouver l’accès à leurs appareils.

Cette arnaque a permis d’extorquer environ 400 000 dollars par mois aux victimes entre 2012 et 2014.

RECEVEZ LES INFOS ZATAZ DIRECTEMENT SUR VOTRE TÉLÉPHONE ✨✨
Abonnez-vous maintenant et restez à la pointe de l’info ! ✨

Le kit d’exploitation Angler et les campagnes de malvertising

Le réseau de J.P. Morgan a également développé et distribué plusieurs kits d’exploitation, dont le tristement célèbre Angler Exploit Kit, qu’ils ont utilisé pour mener des campagnes de « malvertising ». Ces campagnes prenaient diverses formes, mais impliquaient généralement l’achat d’espaces publicitaires sur des sites web légitimes, dans lesquels les cybercriminels téléchargeaient des annonces contenant un kit d’exploitation malveillant.

Ce kit cherchait des vulnérabilités dans le système du site web, permettant finalement de délivrer des logiciels malveillants, y compris des ransomwares (Reveton, CryptXXX, CryptoWall et autres souches), sur l’appareil d’une victime.

Une fois l’appareil de la victime infecté, les cybercriminels pouvaient l’exploiter de plusieurs manières, souvent en volant des informations bancaires et des informations personnelles sensibles. Une victime pouvait être contrainte de payer une rançon sous la menace de voir ses informations publiées en ligne.

Les enquêteurs de la NCA ont établi que le citoyen britannique Zain Qaiser travaillait avec J.P. Morgan, lançant des campagnes de malvertising avec Angler et partageant les bénéfices avec lui. Qaiser a été condamné pour chantage, violation de la loi sur l’utilisation abusive de l’ordinateur et blanchiment d’argent, et a été condamné à six ans et cinq mois de prison au Royaume-Uni en 2019.

À son apogée, Angler représentait 40 % de toutes les infections par kits d’exploitation, ayant ciblé environ 100 000 appareils et générant un chiffre d’affaires annuel estimé à environ 34 millions de dollars.

L’infrastructure et les bureaux physiques

Pour délivrer les kits d’exploitation et les logiciels malveillants, le réseau de J.P. Morgan insérait souvent des logiciels malveillants dans la publicité en ligne de manière à les dissimuler des logiciels antivirus. Ils opéraient sous divers noms, y compris Media Lab, parfois basés dans des bureaux physiques à Kiev, en Ukraine.

Ces campagnes de malvertising ont impacté plus d’un demi-milliard de victimes dans le monde, y compris au Royaume-Uni.

La NCA a travaillé en étroite collaboration avec le Département de la cybercriminalité du Service de sécurité de l’Ukraine, leur fournissant des informations sur Media Lab, leur permettant de mener 15 perquisitions ciblant plusieurs employés et membres du groupe lors de la journée d’action.

Travaillant avec des partenaires, y compris la Force de police de Singapour (SPF), la NCA a pu localiser l’infrastructure utilisée pour gérer et exploiter la souche de ransomware Ransom Cartel et s’assurer qu’elle était hors ligne après la journée d’action.

Des activités opérationnelles ont également eu lieu au Portugal, où une personne soupçonnée d’être liée au groupe criminel a été interrogée et son domicile/ses locaux commerciaux ont été perquisitionnés par la Police judiciaire. Des preuves clés ont été obtenues lors des interrogatoires et des perquisitions, notamment plus de 50 téraoctets de données, qui sont en cours d’examen pour soutenir l’enquête en cours visant d’autres acteurs liés à ce réseau criminel et à des groupes de cybercriminalité associés.

Une opération qui fait suite à des années d’enquête

Par exemple, en 2017, un tribunal de Londres a condamné Zain Qaiser, 24 ans, alias K!NG, à six ans de prison. Il avait gagné 915 000 dollars grâce à ses activités illégales. Selon les enquêteurs, il aurait dépensé ces fonds dans des hôtels de luxe, des jeux de hasard, de la drogue, des prostituées et des produits de luxe.

À partir de 2012, Qaiser a acheté des espaces publicitaires sur des sites Web pour adultes, où il a placé ses publicités contenant un code malveillant qui redirigeait les victimes vers des sites infectés. Sur ces sites, un ensemble d’exploits Angler attendait les utilisateurs, détectant et exploitant les vulnérabilités des navigateurs. Si Angler réussissait sa tâche, un malware, en l’occurrence le ransomware Reveton, pénétrait dans les systèmes des victimes.

Ce ransomware bloquait l’ordinateur de l’utilisateur et affichait divers messages exigeant une rançon (de 300 à 1 000 dollars). Pour rendre l’arnaque plus convaincante, les victimes étaient effrayées par le fait que ce blocage était prétendument l’œuvre des forces de l’ordre (par exemple, le FBI, comme le montre la capture d’écran ci-dessous), et l’ordinateur était bloqué sous prétexte qu’il avait été utilisé pour distribuer de la pédopornographie.

Selon la National Crime Agency britannique, Qaiser n’était pas seulement impliqué dans la distribution du ransomware Reveton, mais aussi dans des attaques DDoS et des tentatives de chantage. Il a notamment menacé au moins deux agences de publicité spécialisées dans les contenus pour adultes. S’ils refusaient de louer des espaces publicitaires, Qaiser lançait des attaques DDoS, menaçait de faire planter les serveurs de l’entreprise, puis les inondait de plaintes concernant la pédopornographie. En raison de ces attaques DDoS, les entreprises ont perdu environ 655 000 dollars.

Il est intéressant de noter que, selon les forces de l’ordre, Qaiser était étroitement associé au groupe criminel russophone Lurk, qui avait développé l’ensemble d’exploits désormais inactifs, mais alors très populaires et efficaces, Angler, ainsi que le non moins célèbre cheval de Troie bancaire Lurk.

En 2016, Proofpoint a découvert un nouveau crypto-ransomware : CryptXXX. Le malware a été détecté pour la première fois en mars de la même année ; il était distribué par le kit Angler. En plus des fonctions habituelles du ransomware, CryptXXX volait les informations personnelles de ses victimes, leurs mots de passe, leurs bitcoins, etc.

Angler infectait les ordinateurs des victimes avec le malware Bedep, qui, à son tour, avait la capacité de télécharger des logiciels malveillants supplémentaires. Une fois dans le système, Bedep téléchargeait CryptXXX sur l’ordinateur de la victime. L’exécution des fichiers malveillants du ransomware ne se produisait pas immédiatement, mais plus d’une heure après son installation.

Après activation, CryptXXX se comportait comme un ransomware « classique », prenant en otage les données en modifiant les extensions de fichiers en .crypt et laissant à la victime un message de rançon dans les fichiers de_crypt_readme.txt et de_crypt_readme.html. Le malware remplaçait également le fond d’écran de la victime. En général, le ransomware demandait un peu plus de 1 bitcoin en rançon.