[ad_1]

Un Canadien de 31 ans a été arrêté et accusé de fraude en lien avec de nombreuses attaques de rançongiciels contre des entreprises, des agences gouvernementales et des particuliers au Canada et aux États-Unis. Les autorités canadiennes le décrivent comme « le cybercriminel le plus prolifique que nous ayons identifié au Canada », mais jusqu’à présent, elles ont divulgué peu d’autres détails sur l’enquête ou sur l’accusé. Utile, une adresse e-mail et un surnom apparemment liés à l’accusé offrent des indices supplémentaires.

Matthieu Philbert, en 2016.

Matthieu Philbert d’Ottawa, en Ontario, a été accusé de fraude et de complot dans le cadre d’une action conjointe d’application de la loi par les autorités canadiennes et américaines baptisée « Projet CODA ». le Police provinciale de l’Ontario (OPP) mardi mentionné l’enquête a débuté en janvier 2020 lorsque le Bureau fédéral d’enquête des États-Unis (FBI) les a contactés au sujet d’attaques de rançongiciels basées au Canada.

«Au cours de cette enquête, les enquêteurs de l’OPP ont déterminé qu’un individu était responsable de nombreuses attaques de rançongiciels affectant des entreprises, des agences gouvernementales et des particuliers partout au Canada, ainsi que d’infractions liées à la cybercriminalité aux États-Unis», lit-on dans un communiqué de l’OPP.

« Une quantité de preuves a été saisie et conservée pour enquête, notamment des ordinateurs de bureau et portables, une tablette, plusieurs disques durs, des téléphones portables, une phrase de départ Bitcoin et une quantité de cartes vierges à bandes magnétiques », poursuit le communiqué.

L’acte d’accusation américain contre Philbert (PDF) est exceptionnellement clairsemé, mais il l’accuse de complot, suggérant que l’accusé faisait partie d’un groupe. Dans une interview avec BreachTrace, Inspecteur-détective de la Police provinciale de l’Ontario Matt Watson a refusé de dire si d’autres accusés étaient recherchés dans le cadre de l’enquête, mais a déclaré que l’enquête se poursuivait.

« Je dirai ceci, Philbert est le cybercriminel le plus prolifique que nous ayons identifié à ce jour au Canada », a déclaré Watson. « Nous avons identifié plus d’un millier de ses victimes. Et beaucoup d’entre eux étaient de petites entreprises qui se tenaient juste par leurs ongles pendant COVID.

UN NUAGE NOIR

Il y a un maintenant en sommeil Mon espace compte pour un Matthew Philbert d’Orléans, en banlieue d’Ottawa, en Ontario. Les informations liées au compte Myspace correspondent à l’âge et à la ville du défendeur. Le compte Myspace était enregistré sous le pseudo « Propriétaire de Darkcloud», et à l’adresse e-mail [email protected].

Une recherche dans DomainTools sur cette adresse e-mail révèle plusieurs domaines enregistrés à un Matthew Philbert et au numéro de téléphone d’Ottawa 6138999251 [DomainTools is a frequent advertiser on this site]. Ce même numéro de téléphone est lié à un compte Facebook pour Matthew Philbert, 31 ans, d’Orléans, qui se décrit comme un « baron du bitcoin fauché » indépendant.

M. Philbert n’a pas répondu aux multiples demandes de commentaires.

Selon une société de cyber-intelligence Intel 471cette adresse [email protected] a été utilisée conjointement avec le pseudo « DCReavers2” pour enregistrer des comptes d’utilisateurs sur une demi-douzaine de forums de cybercriminalité en anglais depuis 2008, notamment Hackforums, Blackhatworld et Ghostmarket.

Le forum sur la cybercriminalité le plus ancien et le plus important fréquenté par DCReavers2 était peut-être Darkode, où il était parmi les deux premières douzaines de membres. Darkode a été démantelé en 2015 dans le cadre d’une opération d’enquête du FBI, mais des captures d’écran de la communauté enregistrées par cet auteur montrent que DCReavers2 était déjà bien connu des fondateurs de Darkode lorsque son adhésion au forum a été acceptée en mai 2009.

DCReavers2 n’était que le 22e compte à s’inscrire sur le forum de la cybercriminalité Darkode.

La plupart des messages de DCReavers sur Darkode semblent avoir été supprimés par les administrateurs du forum au début (probablement à la demande de DCReavers), mais la poignée de messages qui ont survécu à la purge montre qu’il y a plus de dix ans, DCReavers2 était impliqué dans l’exécution de botnets ou de grandes collections. d’ordinateurs piratés.

« Mon pack d’exploits y est hébergé avec 0 problème », déclare DCReaver2 à propos d’un fournisseur en ligne louche qu’un autre membre a interrogé en mai 2010.

La recherche sur le Web sur « DCreavers2 » fait apparaître une conversation chat fascinante prétendument entre DCReavers2 et un individu en Australie qui vendait l’accès à un « kit d’exploitation », un logiciel criminel commercial conçu pour être intégré à des sites piratés ou malveillants et exploiter diverses vulnérabilités de navigateur Web dans le but d’installer un logiciel malveillant au choix du client.

Dans ce chat de 2009, indexé par les chercheurs à l’origine du site exposésbotnets.com, DCReavers2 utilise l’adresse e-mail Dark_Cl0ud6 et partage en fait son vrai nom en tant que Matthew Philbert. DCReavers2 dit aussi que son partenaire utilise le surnom « Le voleur”, qui correspond à un ancien administrateur de Darkode qui était le deuxième utilisateur jamais enregistré sur le forum (voir capture d’écran ci-dessus).

Dans cette même conversation, DCReavers2 discute de la gestion d’un botnet construit sur Bot papillon. Aussi connu sous le nom « Mariposa« , ButterFly était une souche de logiciels malveillants plug-and-play qui permettait même aux cybercriminels les plus novices de mettre en place une opération mondiale capable de récolter des données à partir de milliers de PC infectés et d’utiliser les systèmes asservis pour paralyser les attaques sur les sites Web. . Le kit ButterFly Bot vendu à des prix allant de 500 $ à 2 000 $.

Une publicité pour le ButterFly Bot.

L’auteur de ButterFly Bot — hacker slovène Matjaz « Iserdo » Skorjanc – était le fondateur original de Darkode en 2008. Arrêté en 2010, Skorjanc a été condamné à près de cinq ans de prison pour avoir vendu et soutenu Mariposa, qui a été utilisé pour compromettre des millions d’ordinateurs Microsoft Windows.

À sa sortie de prison, Skorjanc est devenu directeur de la technologie pour NiceHash, un service de minage de crypto-monnaie. En décembre 2017, 52 millions de dollars de Bitcoin ont mystérieusement disparu des coffres de NiceHash. En octobre 2019, Skorjanc a été arrêté en Allemagne en réponse à un mandat d’arrêt international émis par les États-Unis pour son extradition.

L’acte d’accusation (PDF) lié à l’arrestation de Skorjanc en 2019 nomme également plusieurs autres membres fondateurs présumés de Darkode, notamment Thomas « Fubar » McCormick, un homme du Massachusetts qui aurait été l’un des derniers administrateurs de Darkode. Les procureurs affirment que McCormick était également un revendeur du botnet Mariposa, du cheval de Troie bancaire ZeuS et d’un bot malveillant qu’il aurait aidé à créer appelé « Ngrbot ». Les poursuites fédérales américaines contre Skorjanc et McCormick sont en cours.

Au moment où le FBI a démantelé Darkode en 2015, le ministère de la Justice a déclaré que sur environ 800 forums sur le crime dans le monde, Darkode était le forum anglophone le plus sophistiqué et qu’il représentait « l’une des menaces les plus graves à l’intégrité des données sur les ordinateurs aux États-Unis et dans le monde.”

Certains des principaux membres de Darkode étaient soit des clients, soit des vendeurs de divers kits de « casiers », qui étaient essentiellement des exploits basés sur le Web qui verrouilleraient l’écran de la victime sur une page Web usurpant le FBI ou le ministère de la Justice et avertissant que les victimes avaient été surprises en train d’accéder à des abus sexuels sur des enfants. Matériel. Les victimes qui accepteraient de payer une « amende » de plusieurs centaines de dollars de cartes prépayées GreenDot pourraient alors être débarrassées du programme PC Locker.

Un fil de vente de 2012 sur Darkode pour Rev Locker.

À bien des égards, les casiers ont été les précurseurs du fléau de la cybercriminalité moderne que nous connaissons maintenant sous le nom de ransomware. La principale raison pour laquelle les casiers n’ont jamais décollé en tant que menace existentielle pour les organisations du monde entier est qu’il n’y a que la quantité d’argent que les utilisateurs de casiers pourraient raisonnablement exiger via les cartes GreenDot.

Mais avec l’ascendance et l’acceptation plus large des monnaies virtuelles comme Bitcoin, les pirates criminels pourraient soudainement commencer à exiger des millions de dollars des victimes. Et il va de soi qu’un grand nombre de membres de Darkode qui n’ont jamais été attrapés sont depuis passés des casiers, des kits d’exploitation et des cartes GreenDot à faire ce que tout autre cybercriminel qui se respecte semble être impliqué de nos jours : verrouiller des entreprises et des industries entières pour les rançongiciels. Paiements.

Une dernière observation au sujet de l’acte d’accusation de Philbert : il est bon de voir les autorités canadiennes travailler en étroite collaboration avec le FBI sur d’importantes affaires de cybercriminalité. En effet, cette enquête est remarquable pour ce seul fait. Pendant des années, je me suis demandé à voix haute pourquoi davantage de cybercriminels américains ne se contentaient pas de s’installer au Canada, car historiquement, il n’y avait presque aucune probabilité qu’ils se fassent prendre, et encore moins y soient poursuivis. Avec un peu de chance, cette affaire sera le début de quelque chose de nouveau.

.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *