Journal d'investigation en ligne
Dossier
par shaman

Ransomware #4 : les eaux troubles

Gangs de hackers et services secrets russes. Sur les traces de Conti et de Evil Corp.

Protégés par l'État russe, élusifs par essence, les cyber-gangs seraient, évidemment, des marionnettes du FSB ? Loin des fantasmes, quelles sont les pistes tangibles qui ont été levées et comment ces liens troubles pourraient-ils s'articuler ?

Les liens entre gangs de hackers et services russes, remontés par Jon Di Maggio dans son rapport "Nationstate Ransomware" - Analyst1
Vous lisez un article réservé aux abonnés.

Pour cette histoire, il faut remonter dans le temps sur les traces d'un ancien du milieu, un parrain du cyber-crime : Evgeniy Bogachev. L'homme apparait sur les radars dès 2007 comme le créateur du cheval de Troie bancaire Zeus. Il est alors connu sous le pseudo de Slavik.

Le business club de Evgeniy Bogachev

L'attaque commence souvent avec un spam. Un clic de trop et voilà l'ordinateur infecté, le malware attendant patiemment une connexion vers un site bancaire. S'éveillant alors, il modifie les pages que l'utilisateur consulte, l'amenant à divulguer ses identifiants. Et voilà les comptes bancaires de la victime aux mains des pirates. La souche virale est tenue à jour et de nouvelles fonctionnalités apparaissent, permettant de déposer d'autres malwares sur les ordinateurs victimes. Le botnet Zeus devient populaire auprès de la communauté cyber-criminelle. La maintenance de son réseau de machines zombies devenant trop lourde, Slavik va s'entourer. Pendant un temps, il collabore avec les cyber-gangs RockFish et Avalanche avant de créer sa propre association de malfaiteurs. Il va la nommer le « Business club ».

Le « Club » apparait sur le radar des autorités en 2010. Après une plainte déposée dans le Nebraska, des enquêteurs vont remonter à une machine utilisée par le gang pour communiquer. De fil en aiguille, l'enquête conduit à l'identification de plusieurs membres du groupe et à des arrestations en Ukraine....

Une info, un document ? Contactez-nous de façon sécurisée