[ad_1]

Le ministère américain de la Justice a annoncé aujourd’hui l’arrestation d’un Ukrainien accusé d’avoir déployé un logiciel de rançon pour le compte du REvil gang de rançongiciels, un collectif cybercriminel russophone qui a extorqué des centaines de millions à des organisations de victimes. Le DOJ a également déclaré qu’il avait saisi 6,1 millions de dollars en crypto-monnaie envoyés à une autre filiale de REvil, et que le Département d’État américain offre désormais jusqu’à 10 millions de dollars pour le nom ou le lieu de tout dirigeant clé de REvil, et jusqu’à 5 millions de dollars pour des informations sur les affiliés de REvil.

S’il semble peu probable qu’un internaute normal puisse gagner des millions de dollars en démasquant l’identité des membres du gang REvil, rassurez-vous et considérez que les deux hommes inculpés dans le cadre de cette mesure d’application de la loi ne semblent pas avoir fait grand-chose pour séparer leur identité de cybercriminels de leur identité réelle.

Pièce #1 : Yaroslav Vasinsky, le ressortissant ukrainien de 22 ans accusé d’être REvil Affiliate #22. Vasinskyi a été arrêté le 8 octobre en Pologne, qui maintient un traité d’extradition avec les États-Unis. Les procureurs affirment que Vasinskyi a été impliqué dans un certain nombre d’attaques de rançongiciels REvil, y compris le Attaque de juillet 2021 contre Kaseyaune société basée à Miami dont les produits aident les administrateurs système à gérer de grands réseaux à distance.

Le profil Vkontakte de Yaroslav Vasinksyi se lit comme suit : « S’ils vous disent des choses désagréables sur moi, croyez chaque mot. »

Selon son acte d’accusation (PDF), Vasinskyi a utilisé une variété de pseudonymes de pirates, y compris « Profcomserv » – le surnom derrière un service en ligne qui inonde les numéros de téléphone d’appels indésirables moyennant des frais. Les procureurs disent que Vasinskyi a également utilisé les surnoms «Yarik45, » et « Iaroslav2468.”

Ces deux derniers surnoms correspondent à des comptes sur plusieurs grands forums de cybercriminalité en 2013, où un utilisateur nommé « Yaroslav2468 » s’est enregistré en utilisant l’adresse e-mail [email protected].

Cette adresse e-mail a été utilisée pour créer un compte sur Vkontakte (la version russe de Facebook/Meta) sous le nom de profil « Yaroslav ‘sell the blood of css’ Vasinskyi. » Le profil Vkontakte de Vasinskyi indique que sa ville actuelle au 3 octobre était Lublin, en Pologne. Peut-être de manière narquoise, la page de profil de Vasinskyi répertorie également la ligne de renseignements 1-800 du FBI comme son numéro de téléphone de contact. Il est actuellement détenu en Pologne, en attente d’extradition vers les États-Unis.

Pièce 2 : Yevgeniy Igorevich Polyanin, le ressortissant russe de 28 ans qui serait le REvil Affiliate #23. Le DOJ a déclaré avoir saisi 6,1 millions de dollars de fonds liés aux prétendus paiements de rançon reçus par Polyanin, et que le défendeur avait été impliqué dans des attaques de ransomware REvil contre plusieurs organisations de victimes américaines.

L’avis de recherche du FBI pour Polyanin.

L’acte d’accusation de Polyanin (PDF) dit qu’il a également favorisé de nombreuses poignées de piratage, y compris LK4D4, Accablant, Merde2life, Noolledset Antunpitre. Certains de ces surnoms remontent à plus d’une décennie sur les forums de cybercriminalité russes, dont beaucoup ont été piratés et supprimés de leurs bases de données d’utilisateurs au fil des ans.

Parmi ceux-ci se trouvait carder[.]su, et la base de données de ce forum indique qu’un utilisateur du nom de « Damnating » s’est enregistré sur le forum en 2008 en utilisant l’adresse e-mail [email protected]. Effectivement, il y a un profil Vkontakte lié à cette adresse e-mail sous le nom « Yevgeniy ‘damn’ Polyanin » de Barnaoul, une ville dans la région sud de la Sibérie en Russie.

L’absence apparente de toute sécurité opérationnelle réelle par l’un ou l’autre des accusés ici est si courante qu’elle n’est guère remarquable. Comme le montrent d’innombrables enquêtes dans ma série d’histoires Breadcrumbs, j’ai découvert que si un cybercriminel est actif sur plusieurs forums pendant plus de 10 ans, il est extrêmement probable que cette personne ait commis plusieurs erreurs qui permettent de connecter relativement facilement son personnage de forum à son identité réelle.

Comme je l’ai expliqué plus tôt cette année dans The Wages of Password Re-use: Your Money or Your Life, il est possible dans de nombreux cas d’établir ce lien grâce à deux facteurs. Le plus important est la réutilisation des mots de passe par les cybercriminels (oui, les escrocs sont aussi paresseux). L’autre est que les forums, services, etc. des cybercriminels sont piratés à peu près autant que tout le monde sur Internet, et lorsqu’ils le font, leurs bases de données d’utilisateurs peuvent révéler des secrets et des connexions très précieux.

En conjonction avec l’action REvil d’aujourd’hui, le Département d’État américain a dit que c’était offrant une récompense pouvant atteindre 10 millions de dollars pour obtenir des informations permettant d’identifier ou de localiser toute personne occupant un poste de direction clé dans le groupe de rançongiciels REvil. Le département a déclaré qu’il offrait également une récompense pouvant atteindre 5 millions de dollars pour les informations conduisant à l’arrestation et/ou à la condamnation dans n’importe quel pays de toute personne conspirant pour participer ou tentant de participer à un incident de ransomware REvil.

J’aime vraiment cette offre de prime et j’espère que nous en verrons d’autres similaires pour d’autres groupes de ransomwares. Parce que, comme nous pouvons le voir dans les poursuites contre Polyanin et Vasinskyi, beaucoup de ces types ne sont tout simplement pas trop difficiles à trouver. Que les jeux commencent.

.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *