Yoan AGOSTINI

Yoan AGOSTINI

1337 G33k

Yanluowang ransomware access broker gets 81 months in prison

1 minute de lecture

Mis à jour :

Condamnation d’un courtier en accès initial pour le ransomware Yanluowang

Aleksey Olegovich Volkov, un ressortissant russe de 26 ans, a été condamné à 81 mois de prison aux États-Unis pour son rôle de courtier en accès initial (IAB) au profit du groupe de ransomware Yanluowang. Entre juillet 2021 et novembre 2022, il a infiltré au moins huit entreprises américaines, revendant les accès aux affiliés du gang pour des demandes de rançon allant de 300 000 $ à 15 millions de dollars.

Points clés :

  • Mode opératoire : Volkov compromettait les réseaux d’entreprises et fournissait les identifiants aux opérateurs du ransomware en échange d’un pourcentage sur les rançons, générant environ 1,5 million de dollars de profits.
  • Enquête : Le FBI a identifié Volkov grâce à la saisie de serveurs du groupe, ainsi qu’à l’exploitation de données iCloud, de registres d’échanges de cryptomonnaies et de ses comptes sur les réseaux sociaux.
  • Liens criminels : Les preuves suggèrent une possible collaboration entre Volkov et le groupe de ransomware LockBit.
  • Sanction : En plus de sa peine de prison, il est condamné à verser plus de 9 millions de dollars en dédommagements aux victimes et à confisquer le matériel informatique utilisé pour ses activités illégales.

Vulnérabilités :

  • L’article ne mentionne pas de CVE spécifique, mais souligne l’usage d’identifiants d’accès compromis (volés ou obtenus par force brute) pour infiltrer les réseaux d’entreprise.
  • L’utilisation de services cloud (Box) par des employés sans protection adéquate a également été exploitée lors de l’attaque visant Cisco.

Recommandations :

  • Sécurisation des accès : Implémenter l’authentification multifacteur (MFA) robuste pour tous les accès distants et les services cloud afin de neutraliser l’usage d’identifiants volés.
  • Gestion des identités : Surveiller activement les tentatives de connexion suspectes et limiter les privilèges d’accès aux ressources critiques.
  • Veille et détection : Maintenir une surveillance rigoureuse des logs réseau et des accès aux dossiers partagés, particulièrement pour les données sensibles, afin de détecter toute exfiltration précoce avant le chiffrement.

Source

Vous pourriez aimer