Le ressortissant russe Vladimir Dunaev a été condamné à cinq ans et quatre mois de prison pour son rôle dans la création et la distribution du malware Trickbot utilisé dans des attaques contre des hôpitaux, des entreprises et des particuliers dans le monde entier.
Selon des documents judiciaires, l’individu de 40 ans (également connu sous le nom de FFX) était celui qui supervisait le développement du composant d’injection de navigateur du logiciel malveillant.
En septembre 2021, Dunaev a été arrêté alors qu’il tentait de quitter la Corée du Sud après y avoir été coincé pendant plus d’un an en raison des restrictions de voyage liées au COVID-19 et d’un passeport expiré. Le processus d’extradition vers les États-Unis s’est achevé le 20 octobre 2021.
Après son arrestation, il a plaidé coupable à des accusations liées à la conspiration en vue de commettre une fraude informatique et un vol d’identité, en plus de conspirer en vue de commettre une fraude électronique et bancaire, encourant une peine maximale de 35 ans de prison pour les deux infractions.
L’acte d’accusation initial accusait Dunaev et huit coaccusés de s’être engagés dans le développement, le déploiement, l’administration et les gains financiers de l’opération de malware Trickbot.
« Dunaev a développé un ransomware malveillant et l’a déployé pour attaquer des hôpitaux, des écoles et des entreprises américaines dans le district nord de l’Ohio et dans tout notre pays, tout en se cachant derrière son ordinateur », a déclaré la procureure américaine Rebecca C. Lutzko.
« Lui et ses coaccusés ont causé des perturbations incommensurables et des dommages financiers, infectant malicieusement des millions d’ordinateurs dans le monde entier, et Dunaev va maintenant passer plus de cinq ans derrière les barreaux en conséquence. »
Arrestations et sanctions de TrickBot
Dunaev a commencé à travailler pour le syndicat de logiciels malveillants TrickBot en juin 2016 en tant que développeur à la suite d’un processus de recrutement qui l’obligeait à créer une application serveur SOCKS et à modifier le navigateur Firefox pour la diffusion de logiciels malveillants.
Le malware TrickBot qu’il a aidé à développer a permis aux cybercriminels de collecter les informations sensibles des victimes infectées (telles que les identifiants de connexion, les informations de carte de crédit, les e-mails, les mots de passe, les numéros de sécurité sociale et les adresses) et de siphonner les fonds des comptes bancaires des victimes
Dunaev est le deuxième développeur de logiciels malveillants TrickBot poursuivi par le département américain de la Justice après que la ressortissante lettone Alla Witte (alias Max) a été appréhendée en février 2021 et accusée d’avoir aidé à développer le module conçu pour déployer des ransomwares sur des réseaux compromis.
En février et septembre, les États-Unis et le Royaume-Uni ont sanctionné 18 Russes liés aux gangs de cybercriminalité TrickBot et Conti pour leur implication dans l’extorsion d’au moins 180 millions de dollars, avertissant que certains membres du groupe Trickbot étaient également associés aux services de renseignement russes.
L’évolution de TrickBot et les liens Conti
Initialement axé sur le vol d’identifiants bancaires lors de son émergence en 2015, TrickBot a rapidement muté en un outil modulaire utilisé par les organisations de cybercriminalité (y compris les opérations de ransomware Ryuk et Conti) pour obtenir un accès initial aux réseaux d’entreprise.
Malgré plusieurs tentatives de suppression, le groupe de cybercriminalité Conti a pris le contrôle du logiciel malveillant, l’utilisant pour développer d’autres variantes de logiciels malveillants complexes et plus furtives comme Anchor et BazarBackdoor.
Cependant, à la suite de l’invasion de l’Ukraine par la Russie, un chercheur ukrainien a divulgué en ligne les communications internes de Conti, exposant ses liens avec l’opération TrickBot.
Une entité anonyme (TrickLeaks) a par la suite divulgué plus d’informations sur le gang TrickBot, éclairant davantage ses liens avec Conti.
Ces divulgations ont finalement accéléré la fermeture de Conti, qui s’est fragmentée en d’autres groupes de ransomwares désormais connus sous les noms de Royal, Black Basta et ZEON.