Jeudi, un ressortissant russe a plaidé coupable à des accusations liées à son implication dans le développement et le déploiement du logiciel malveillant Trickbot, utilisé dans des attaques contre des hôpitaux, des entreprises et des individus aux États-Unis et dans le monde.
Selon des documents judiciaires, un individu de 40 ans, également connu sous le nom de FFX, a supervisé le développement du composant d’injection du navigateur de TrickBot en tant que développeur de logiciels malveillants.
L’association de Dunaev avec le syndicat de logiciels malveillants TrickBot aurait commencé en juin 2016 après avoir été embauché en tant que développeur à la suite d’un test de recrutement l’obligeant à créer une application simulant un serveur SOCKS et à modifier le navigateur Firefox.
En septembre 2021, il a été arrêté en Corée du Sud alors qu’il tentait de partir. En raison des restrictions de voyage liées au COVID-19 et d’un passeport expiré, il a été contraint de rester en Corée du Sud pendant plus d’un an. La procédure d’extradition a été finalisée le 20 octobre 2021.
« Comme indiqué dans l’accord de plaidoyer, Vladimir Dunaev a abusé de ses compétences particulières de programmeur informatique pour développer la suite de logiciels malveillants Trickbot », a déclaré la procureure américaine Rebecca C. Lutzko.
« Dunaev et ses coaccusés se sont cachés derrière leurs claviers, d’abord pour créer Trickbot, puis l’ont utilisé pour infecter des millions d’ordinateurs dans le monde, y compris ceux utilisés par les hôpitaux, les écoles et les entreprises, envahissant la vie privée et causant des perturbations et des dommages financiers incalculables. »
Le malware TrickBot a aidé ses opérateurs à collecter des informations personnelles et sensibles (notamment les informations d’identification, les cartes de crédit, les e-mails, les mots de passe, les dates de naissance, les SSN et les adresses) et à voler des fonds sur les comptes bancaires de leurs victimes.
Dunaev a plaidé coupable pour des accusations liées à un complot en vue de commettre une fraude informatique et un vol d’identité, ainsi que pour des accusations de complot pour fraude électronique et bancaire. Sa condamnation est fixée au 20 mars 2024 et il encourt une peine maximale de 35 ans de prison pour les deux infractions.
L’acte d’accusation initial accusait Dunaev et huit coaccusés de leur implication présumée dans le développement, le déploiement, l’administration et le profit de l’opération Trickbot.
Dunaev est le deuxième développeur de logiciels malveillants du gang TrickBot arrêté par le ministère américain de la Justice. En février 2021, le ressortissant letton Alla Witte (alias Max) a été appréhendé et accusé d’avoir contribué à l’écriture du code utilisé pour contrôler et déployer des ransomwares sur les réseaux des victimes.
En février et septembre, les États-Unis et le Royaume-Uni ont sanctionné un total de 18 ressortissants russes associés aux gangs cybercriminels TrickBot et Conti pour leur implication dans l’extorsion d’au moins 180 millions de dollars auprès de victimes dans le monde entier. Ils ont également averti que certains membres du groupe Trickbot étaient associés aux services de renseignement russes.
Initialement axé sur le vol d’identifiants bancaires lors de son apparition en 2015, le malware TrickBot a évolué vers un outil modulaire exploité par des organisations de cybercriminalité telles que les ransomwares Ryuk et Conti pour un accès initial aux réseaux d’entreprise compromis.
Après plusieurs tentatives de retrait, le gang de cybercriminalité Conti a pris le contrôle de TrickBot, l’exploitant pour développer des souches de logiciels malveillants plus sophistiqués et furtifs, notamment Anchor et BazarBackdoor.
Cependant, à la suite de l’invasion de l’Ukraine par la Russie, un chercheur ukrainien a divulgué les communications internes de Conti dans ce qui est maintenant connu sous le nom de « Conti Leaks ».
Peu de temps après, une personnalité anonyme utilisant le surnom de TrickLeaks a commencé à divulguer des détails sur l’opération TrickBot, soulignant davantage ses liens avec le gang Conti.
En fin de compte, ces fuites ont précipité l’arrêt des opérations du ransomware Conti, entraînant sa fragmentation en de nombreux autres groupes de ransomwares, tels que Royal, Black Basta et ZEON.