Yoan AGOSTINI

Yoan AGOSTINI

1337 G33k

Manager of botnet used in ransomware attacks gets 2 years in prison

1 minute de lecture

Mis à jour :

Condamnation d’un gestionnaire de botnet lié au ransomware BitPaymer

Ilya Angelov, ressortissant russe et co-gestionnaire du groupe cybercriminel « Mario Kart » (aussi identifié sous les noms TA551, Shathak ou GOLD CABIN), a été condamné à deux ans de prison aux États-Unis. Entre 2017 et 2021, son organisation a orchestré des campagnes de phishing massives, envoyant jusqu’à 700 000 emails par jour pour infecter des systèmes et vendre ces accès à des opérateurs de ransomwares.

Points clés :

  • Mode opératoire : Le groupe utilisait des emails de phishing pour infecter les machines des victimes avec des malwares, les intégrant au botnet Mario Kart. À son apogée, le botnet infectait environ 3 000 ordinateurs par jour.
  • Modèle économique : Le groupe agissait comme un « courtier en accès initial » (Initial Access Broker), vendant des accès compromis à des gangs de Ransomware-as-a-Service (RaaS), dont ceux exploitant BitPaymer, TrickBot, Conti, ProLock, Egregor et DoppelPaymer.
  • Impact financier : Les activités liées au ransomware BitPaymer, ciblant 72 entreprises américaines, ont généré plus de 14 millions de dollars en demandes de rançon. Le groupe a également perçu plus d’un million de dollars de la part du gang IcedID pour l’accès à ses bots.

Vulnérabilités exploitées :

  • L’article ne mentionne pas de CVE spécifique, mais souligne l’exploitation systématique du facteur humain via le phishing et l’utilisation de malwares personnalisés conçus pour contourner les solutions de sécurité traditionnelles.

Recommandations :

  • Sensibilisation au phishing : Renforcer la formation des employés à la détection des emails malveillants, vecteurs principaux d’infection initiale.
  • Défense en profondeur : Mettre en œuvre des solutions de détection avancées (EDR/XDR) pour identifier les comportements malveillants des malwares qui tentent d’échapper aux antivirus classiques.
  • Gestion des accès : Appliquer des politiques strictes de moindre privilège et surveiller les accès inhabituels vers les réseaux internes pour limiter la propagation d’un ransomware en cas de compromission d’un poste de travail.

Source

Vous pourriez aimer