Un ressortissant ukrainien de 28 ans a été condamné à quatre ans de prison pour avoir siphonné des milliers d’identifiants de connexion à un serveur et les avoir vendus sur le dark web pour un gain monétaire dans le cadre d’un stratagème de vol d’identifiants. Glib Oleksandr Ivanov-Tolpintsev, qui a plaidé coupable de ses infractions plus tôt en février, a été arrêté en Pologne en octobre 2020, avant d’être extradé vers les États-Unis en septembre 2021. La vente illégale impliquait le trafic d’identifiants de connexion vers des serveurs situés dans le monde entier et d’informations personnellement identifiables telles que les dates de naissance et les numéros de sécurité sociale appartenant à des résidents américains sur un marché darknet. Le site sans nom aurait proposé plus de 700 000 serveurs compromis à vendre, dont au moins 150 000 aux États-Unis seulement. Considéré comme opérationnel depuis octobre 2014 environ, le marché clandestin a été saisi par les forces de l’ordre le 24 janvier 2019, selon des documents judiciaires. Cela coïncide exactement avec le démantèlement de xDedic Marketplace à la même date à la suite d’une enquête d’un an menée par des agences des États-Unis, de Belgique, d’Ukraine et d’Allemagne. « Le marché xDedic a vendu l’accès à des ordinateurs compromis dans le monde entier ainsi qu’à des données personnelles », a déclaré Europol à l’époque, ajoutant que « les utilisateurs de xDedic pourraient rechercher des informations d’identification d’ordinateurs compromis par des critères tels que le prix, l’emplacement géographique et le système d’exploitation ». Les victimes couvraient une large gamme de secteurs tels que les gouvernements, les hôpitaux, les services d’urgence, les centres d’appels, les autorités métropolitaines de transport en commun, les cabinets d’avocats, les fonds de pension et les universités. « Une fois achetés, les criminels ont utilisé ces serveurs pour faciliter un large éventail d’activités illégales, notamment des attaques de ransomwares et des fraudes fiscales », a noté le ministère américain de la Justice (DoJ) dans un communiqué de presse. Ivanov-Tolpintsev aurait obtenu les noms d’utilisateur et les mots de passe du serveur au moyen d’un botnet qui a été utilisé pour des attaques par force brute et par pulvérisation de mot de passe, mettant en vente ces informations d’identification piratées sur le marché de 2017 à 2019 et rapportant 82 648 $ en retour. La condamnation intervient alors que le DoJ a infligé une peine d’emprisonnement d’au moins cinq ans à un trio de cybercriminels pour complot en vue de commettre une fraude et vol d’identité aggravé. « De 2015 au moins à 2020, [Jean Elie Doreus] Jovin, Alessandro Doreus et Djouman Doreus ont conspiré pour posséder sciemment et avec l’intention de frauder des dizaines de milliers de dispositifs d’accès contrefaits et non autorisés, y compris les noms, les numéros de sécurité sociale, numéros de compte, noms d’utilisateur et mots de passe des victimes d’usurpation d’identité », a indiqué le département.