Un ressortissant iranien a plaidé coupable d’avoir participé à l’opération de rançongiciel Robbinhood, qui a été utilisée pour violer les réseaux, voler des données et chiffrer des appareils de villes et d’organisations américaines dans le but d’extorquer des millions de dollars sur une période de cinq ans.
Selon un département américain de la Justice et un acte d’accusation non scellé, un homme de 39 ans nommé Sina Gholinejad, également connu sous le nom de « Sina Ghaaf », et ses conspirateurs ont déployé le ransomware Robbinhood sur des réseaux piratés d’au moins janvier 2019 à mars 2024.
Les attaques ont ciblé les gouvernements locaux, les prestataires de soins de santé et les organisations à but non lucratif, cryptant des fichiers et exigeant des rançons Bitcoin en échange d’un déchiffreur et pour empêcher les fuites de données.
Les victimes comprenaient les villes de Baltimore, Greenville (Caroline du Nord), Gresham (Oregon) et Yonkers (New York), ainsi que des organisations telles que Meridian Medical Group et Berkshire Farm Center.
Gholinejad et ses co-conspirateurs accédaient souvent aux réseaux des victimes en utilisant des comptes d’administrateur ou des vulnérabilités, déployaient le ransomware manuellement et exigeaient un paiement via les sites Web sombres de Tor.
Cependant, ce n’est qu’en mai 2019 que le gang de Robbinhood a gagné en notoriété après avoir perturbé les systèmes informatiques de Baltimore pendant des semaines.
Le gang de ransomwares a également effectué des vols de données lors de campagnes ultérieures, utilisant les données volées et la menace de fuites comme levier supplémentaire contre les victimes.
Robbinhood s’est démarqué à l’époque en utilisant un pilote Gigabyte légitime mais vulnérable (gdrv.sys) dans Apportez vos propres attaques de pilotes vulnérables pour désactiver le logiciel antivirus. Cela a permis aux auteurs de menaces de lancer leur chiffreur de ransomware sans interférence des logiciels de sécurité.
Les notes de rançon laissées sur les appareils incitaient les victimes à les contacter sur les sites Tor pour négocier des rançons.
L’acte d’accusation décrit comment les attaquants ont utilisé des serveurs privés virtuels en Europe, des VPN et des mélangeurs de crypto-monnaie pour échapper aux forces de l’ordre.
Gholinejad a plaidé coupable devant un tribunal fédéral de Caroline du Nord et encourt désormais une peine maximale de 30 ans de prison pour complot en vue de commettre une fraude, intrusion informatique, extorsion et blanchiment d’argent.