Le ressortissant biélorusse-ukrainien Maksim Silnikau a été arrêté en Espagne et est maintenant extradé vers les États-Unis pour faire face à des accusations d’avoir créé l’opération ransomware Ransom Cartel en 2021 et dirigé une opération de publicité malveillante de 2013 à 2022.
L’acteur menaçant opérait sous les pseudonymes « JP Morgan », « xxx » et « lansky » sur des forums de piratage russophones, où il aurait fait la promotion des opérations de cybercriminalité.
Les autorités ont descellé deux actes d’accusation distincts: un pour le district du New Jersey concernant l’opération de publicité malveillante et un pour le District oriental de Virginie concernant l’opération de cartel des rançons.
Les co-conspirateurs Volodymyr Kadariya, un ressortissant biélorusse et ukrainien de 38 ans, et Andrei Tarasov, un ressortissant russe de 33 ans, ont également été inculpés pour leur rôle dans l’opération de publicité malveillante.
« Ces conspirateurs auraient mis en place un stratagème pluriannuel pour distribuer des logiciels malveillants sur les ordinateurs de millions d’Internautes sans méfiance à travers le monde », a déclaré l’avocat américain Philip R. Sellinger pour le district du New Jersey. « Pour mener à bien ce stratagème, ils ont utilisé de la publicité malveillante, ou « publicité malveillante » , pour inciter les victimes à cliquer sur des publicités Internet d’apparence légitime. »
La National Crime Agency du Royaume-Uni a annoncé aujourd’hui que Silnikau avait été arrêté en Espagne le 18 juillet 2023.
Une opération internationale coordonnée par la NCA a abouti à l’arrestation et à l’extradition d’un homme considéré comme l’un des cybercriminels russophones les plus prolifiques au monde.
L’opération du Cartel des Rançons
Ransom Cartel est une opération de ransomware lancée en décembre 2021, partageant de nombreuses similitudes de code avec la famille REvil.
L’absence d’obscurcissement fort a incité les analystes à supposer qu’il s’agissait de la création d’un membre principal qui manquait le moteur d’obscurcissement trouvé dans REvil plutôt que d’un redémarrage/changement de marque de la même équipe de cybercriminels.
Selon l’acte d’accusation, Silniku a créé et administré un cartel de rançons, gérant l’opération de « ransomware-as-a-service » et recrutant d’autres cybercriminels sur des forums russophones pour participer à des attaques.
Il a également négocié avec des « courtiers en accès initial » (CAI) qui ont fourni l’accès aux réseaux d’entreprise compromis, géré les communications avec les victimes et géré les paiements de rançon.
Silniku a également transféré des paiements de rançon via des mélangeurs de crypto-monnaie pour obscurcir la piste de l’argent et compliquer les efforts des forces de l’ordre, jouant clairement un rôle central dans l’opération.
Rançongiciel Reveton
La NCA déclare également que Silnikau était à l’origine du tristement célèbre cheval de Troie Reveton, un logiciel malveillant Windows qui a exclu les utilisateurs du système d’exploitation jusqu’à ce qu’une rançon soit payée.
Le malware a été lancé en 2011 et prétendait être une application de la loi verrouillant un ordinateur en raison de la détection de pornographie juvénile et de matériel protégé par des droits d’auteur.
Pour accéder à l’ordinateur, les victimes devaient envoyer une rançon via MoneyPak, PaySafeCard ou d’autres paiements en ligne.
Le logiciel malveillant se faisait principalement passer pour des organismes d’application de la loi du Royaume-Uni et des États-Unis.
Entre 2012 et 2014, Reveton a été vendu à d’autres cybercriminels qui l’ont massivement distribué via des sites compromis avec des kits d’exploit.
La NCA rapporte que l’opération Reveton a généré 400 000 daily par jour.
Le succès de l’opération a également incité d’autres cybercriminels à lancer des casiers similaires, tels que les familles de ransomwares Urausy et Harasom, qui étaient, dans de nombreux cas, impossibles à distinguer de Reveton.
Opération de publicité malveillante
L’accusé est également soupçonné d’avoir orchestré et exécuté un stratagème de publicité malveillante à grande échelle d’octobre 2013 à mars 2022.
Ses principales responsabilités comprenaient le développement et la distribution de publicités malveillantes qui semblaient légitimes mais redirigeaient les utilisateurs vers des sites contenant des kits d’exploitation d’Internet Explorer, des logiciels malveillants, des scarewares et des escroqueries en ligne.
Plus précisément, l’opération a distribué les éléments suivants:
- Angler Exploit Kit (AEK): Conçu pour exploiter les failles des navigateurs Web et des plugins afin de fournir des charges utiles supplémentaires sur les appareils compromis.
- Malware Locker: Une sorte d’outil de ransomware » léger’ qui empêche la victime d’accéder à ses données, exigeant souvent un paiement pour rétablir l’accès.
- Scareware: Outils de tromperie qui ont allégué des infections sur les ordinateurs des victimes via des alertes falsifiées, les incitant à télécharger des logiciels nuisibles ou à fournir des informations personnelles aux cybercriminels.
Silnikau a utilisé divers alias en ligne et de fausses sociétés pour tromper les plateformes publicitaires victimes d’abus et a été directement impliquée dans la vente d’accès à des appareils compromis via ce stratagème.
De plus, il a collaboré au développement et à la maintenance d’infrastructures techniques, telles que les Systèmes de répartition du trafic (TDSE), pour gérer et cibler plus efficacement leurs campagnes malveillantes.
« À son apogée, Angler représentait 40% de toutes les infections de kits d’exploitation, ayant ciblé environ 100 000 appareils et avec un chiffre d’affaires annuel estimé à environ 34 millions de dollars. »- ACN
Maksim Silnikau fait face à d’importantes conséquences juridiques sur la base des accusations portées dans les deux actes d’accusation, notamment des peines d’emprisonnement pour fraude électronique, fraude informatique, fraude informatique et abus, vol d’identité aggravé et fraude aux appareils d’accès.
Silnikau pourrait potentiellement faire face à une peine de plus de 100 ans de prison s’il est reconnu coupable de toutes les accusations, bien que la durée de la peine soit généralement beaucoup plus courte en raison des peines purgées simultanément.