Un ressortissant russe, Ilya Angelov, a été condamné à deux ans de prison pour son rôle dans la gestion d’un botnet de phishing. Ce groupe criminel a exécuté des attaques de ransomware BitPaymer touchant 72 entreprises américaines.
Âgé de 40 ans, Angelov, connu sous les pseudonymes en ligne « milan » et « okart », faisait partie des leaders d’une opération cybercriminelle surveillée par le FBI sous le nom de Mario Kart; les analystes en cybersécurité l’ont également désignée comme TA551, Shathak, GOLD CABIN, Monster Libra, ATK236 et G0127. Avec son acolyte, il a recruté des membres et supervisé les activités malveillantes du groupe.
Les membres de cette organisation avaient des rôles variés : des programmeurs créant des malwares, d’autres développant des logiciels de spam, ainsi que des experts en personnalisation de malwares pour contourner les logiciels de sécurité.
Les procureurs ont indiqué que le groupe menait une campagne massive d’envoi d’emails, capable d’envoyer jusqu’à 700 000 messages par jour. Si un destinataire cliquait sur une pièce jointe, un malware se glissait dans l’ordinateur, ajoutant celui-ci au botnet Mario Kart. À son apogée, près de 3 000 ordinateurs étaient infectés quotidiennement.
Entre 2017 et 2021, cette bande a utilisé son vaste botnet pour distribuer des malwares dans le cadre de campagnes de phishing à grande échelle, revendant l’accès à des appareils infectés à d’autres cybercriminels. Des groupes de ransomware en service régulier ont particulièrement tiré parti de ces infections.
Le Department of Justice a précisé que l’accès vendu a permis à d’autres groupes criminels de mettre en œuvre des schémas d’extorsion, souvent en verrouillant les réseaux d’entreprises et en exigeant des paiements en cryptomonnaie pour restaurer l’accès.
Le FBI a recensé plus de 70 entreprises américaines affectées par des attaques de ransomware orchestrées par une organisation liée au groupe d’Angelov, engendrant des paiements d’extorsion dépassant les 14 millions de dollars.
Les attaques, survenues entre août 2018 et décembre 2019, étaient toutes associées à l’opération de BitPaymer. Par ailleurs, le groupe IcedID a versé un million de dollars à Angelov et ses complices entre fin 2019 et août 2021 pour l’accès à leurs bots, bien que les dommages causés restent à évaluer.
Le groupe TA551 a également été lié à divers opérateurs de malwares et à certains affiliés de ransomware. Ce dernier a souvent collaboré avec le célèbre groupe TrickBot (Wizard Spider), déployant des attaques de phishing qui introduisaient le ransomware Conti sur des systèmes compromis.
Enfin, le CERT de France a identifié TA551 comme collaborateur dans l’opération de ransomware Lockean, facilitant le déploiement de ProLock, Egregor et DoppelPaymer sur des dispositifs infectés par le Qbot/QakBot, un cheval de Troie bancaire.