Une opération internationale coordonnée par la National Crime Agency (NCA) a conduit à l’arrestation et à l’extradition d’un homme soupçonné d’être l’un des cybercriminels russophones les plus prolifiques au monde.
✨ LES INFOS DE LA SEMAINE, CHAQUE SAMEDI, PAR COURRIEL ! ✨
✨ Ne manquez rien ! Abonnez-vous et restez informé ! ✨
Depuis 2015, la NCA enquête sur le pseudonyme en ligne « J.P. Morgan » et son réseau criminel, avec des enquêtes parallèles menées par le United States Secret Service (USSS) et le FBI. J.P. Morgan et ses associés sont des cybercriminels d’élite qui ont pratiqué une sécurité opérationnelle et en ligne extrême dans le but d’échapper aux autorités.
Les spécialistes de la cybercriminalité de la NCA, travaillant en étroite collaboration avec des partenaires internationaux, ont identifié les individus réels responsables de plusieurs pseudonymes en ligne de grande envergure, y compris J.P. Morgan, et ont réussi à les suivre et à les localiser alors qu’ils tentaient d’échapper à la détection à travers l’Europe.
Les enquêteurs ont établi que ces individus étaient responsables du développement et de la distribution de célèbres souches de ransomware, notamment Reveton et, plus récemment, Ransom Cartel [Arvin, plus actif depuis 2023], ainsi que de kits d’exploitation, tels qu’Angler, qui ont extorqué des dizaines de millions de victimes dans le monde entier.
Arrestation et extradition de Silnikau
Le 18 juillet 2023, suite à des accusations portées aux États-Unis contre plusieurs individus, une journée d’action coordonnée a eu lieu au cours de laquelle la Guardia Civil, soutenue par la NCA et les officiers américains, a arrêté Maksim Silnikau, 38 ans, également connu sous le nom de Maksym Silnikov, dans un appartement à Estepona, en Espagne.
Silnikau, originaire de Biélorussie, est soupçonné d’avoir utilisé le pseudonyme J.P. Morgan, ainsi que d’autres pseudonymes notoires au sein de la communauté cybercriminelle, notamment « xxx » et « lansky ». Le vendredi 9 août 2024, Silnikau a été extradé de Pologne vers les États-Unis pour faire face à des accusations liées à des infractions de cybercriminalité.
Vladimir Kadariya, 38 ans, originaire de Biélorussie, et Andrei Tarasov, 33 ans, originaire de Russie, sont également accusés aux États-Unis d’avoir joué des rôles clés dans le groupe criminel de J.P. Morgan.
Voiture saisie. – Image : NCA
Les origines de J.P. Morgan et de son réseau criminel
Les activités criminelles de J.P. Morgan remontent à au moins 2011, lorsqu’il a introduit, avec ses associés, Reveton, le tout premier modèle de ransomware en tant que service (RaaS). Ces services offrent une suite d’outils permettant aux délinquants peu qualifiés de lancer des attaques de ransomware efficaces moyennant des frais, réduisant ainsi considérablement la barrière à l’entrée dans la cybercriminalité.
Les victimes de Reveton recevaient des messages prétendant provenir des forces de l’ordre, avec une notification qui bloquait leur écran et leur système, les accusant de télécharger du contenu illégal tel que des images d’abus sur enfants ou des programmes sous copyright. Reveton pouvait détecter l’utilisation d’une webcam et prendre une image de l’utilisateur pour accompagner la notification avec une demande de paiement. Les victimes étaient alors contraintes de payer de lourdes amendes par peur d’emprisonnement ou pour retrouver l’accès à leurs appareils.
Cette arnaque a permis d’extorquer environ 400 000 dollars par mois aux victimes entre 2012 et 2014.
RECEVEZ LES INFOS ZATAZ DIRECTEMENT SUR VOTRE TÉLÉPHONE ✨✨
Abonnez-vous maintenant et restez à la pointe de l’info ! ✨
Le kit d’exploitation Angler et les campagnes de malvertising
Le réseau de J.P. Morgan a également développé et distribué plusieurs kits d’exploitation, dont le tristement célèbre Angler Exploit Kit, qu’ils ont utilisé pour mener des campagnes de « malvertising ». Ces campagnes prenaient diverses formes, mais impliquaient généralement l’achat d’espaces publicitaires sur des sites web légitimes, dans lesquels les cybercriminels téléchargeaient des annonces contenant un kit d’exploitation malveillant.
Ce kit cherchait des vulnérabilités dans le système du site web, permettant finalement de délivrer des logiciels malveillants, y compris des ransomwares (Reveton, CryptXXX, CryptoWall et autres souches), sur l’appareil d’une victime.
Une fois l’appareil de la victime infecté, les cybercriminels pouvaient l’exploiter de plusieurs manières, souvent en volant des informations bancaires et des informations personnelles sensibles. Une victime pouvait être contrainte de payer une rançon sous la menace de voir ses informations publiées en ligne.
Les enquêteurs de la NCA ont établi que le citoyen britannique Zain Qaiser travaillait avec J.P. Morgan, lançant des campagnes de malvertising avec Angler et partageant les bénéfices avec lui. Qaiser a été condamné pour chantage, violation de la loi sur l’utilisation abusive de l’ordinateur et blanchiment d’argent, et a été condamné à six ans et cinq mois de prison au Royaume-Uni en 2019.
À son apogée, Angler représentait 40 % de toutes les infections par kits d’exploitation, ayant ciblé environ 100 000 appareils et générant un chiffre d’affaires annuel estimé à environ 34 millions de dollars.
L’infrastructure et les bureaux physiques
Pour délivrer les kits d’exploitation et les logiciels malveillants, le réseau de J.P. Morgan insérait souvent des logiciels malveillants dans la publicité en ligne de manière à les dissimuler des logiciels antivirus. Ils opéraient sous divers noms, y compris Media Lab, parfois basés dans des bureaux physiques à Kiev, en Ukraine.
Ces campagnes de malvertising ont impacté plus d’un demi-milliard de victimes dans le monde, y compris au Royaume-Uni.
La NCA a travaillé en étroite collaboration avec le Département de la cybercriminalité du Service de sécurité de l’Ukraine, leur fournissant des informations sur Media Lab, leur permettant de mener 15 perquisitions ciblant plusieurs employés et membres du groupe lors de la journée d’action.
Travaillant avec des partenaires, y compris la Force de police de Singapour (SPF), la NCA a pu localiser l’infrastructure utilisée pour gérer et exploiter la souche de ransomware Ransom Cartel et s’assurer qu’elle était hors ligne après la journée d’action.
Des activités opérationnelles ont également eu lieu au Portugal, où une personne soupçonnée d’être liée au groupe criminel a été interrogée et son domicile/ses locaux commerciaux ont été perquisitionnés par la Police judiciaire. Des preuves clés ont été obtenues lors des interrogatoires et des perquisitions, notamment plus de 50 téraoctets de données, qui sont en cours d’examen pour soutenir l’enquête en cours visant d’autres acteurs liés à ce réseau criminel et à des groupes de cybercriminalité associés.
