lun. Déc 5th, 2022

La police suisse a arrêté le chef présumé du groupe de hackers JabberZeus. Recherché par le FBI, il va être extradé vers les USA

Les membres du groupe de hackers JabberZeus figuraient sur la liste des personnes les plus recherchées par le FBI pour leur implication présumée dans le développement et la distribution du cheval de Troie bancaire Zeus. Le groupe comprenait Ivan Viktorvich Klepikov alias « petr0vich » et « nulle part », Alexey Dmitrievich Bron alias « thehead » et Vyacheslav Igorevich Penchukov alias « tank » et « père ». La police suisse a récemment réussi à arrêter le chef présumé du groupe cybercriminel, Vyacheslav Igorevich Penchukov (alias Tank), un Ukrainien de 40 ans originaire de Donetsk. Le chercheur en sécurité informatique Brian Krebs a annoncé l’arrestation mardi soir sur son blog (« Krebs on Security »). L’Office fédéral de la justice (OFJ) a confirmé l’arrestation à l’entreprise de médias en ligne Watson.

Les neuf membres du groupe JabberZeus sont accusés de complot en vue de commettre une fraude informatique et d’usurpation d’identité, de complot en vue de participer à des activités d’extorsion, d’usurpation d’identité aggravée et de plusieurs chefs de fraude bancaire. Le logiciel malveillant Zeus utilisait des mots de passe, des numéros de compte et d’autres informations capturés nécessaires pour se connecter à des comptes bancaires en ligne.

Les pirates auraient utilisé des informations volées à Zeus pour voler des millions de dollars sur les comptes bancaires des victimes. Selon BleepingComputer, Penchukov serait également le cerveau, ou du moins le co-fondateur, des opérations de somware Maze, Egregor et Sekhmetran, qui ont été très actives dans le passé.

Le cheval de Troie bancaire Zeus était inégalé à l’époque en termes d’échelle, d’utilisation et d’efficacité

JabberZeus est connu comme un groupe de piratage plutôt petit avec des membres d’Ukraine et de Russie. Le groupe aurait utilisé une version puissante et personnalisée du cheval de Troie bancaire Zeus. Ils auraient attaqué des petites et moyennes entreprises aux États-Unis et en Europe notamment. Les pirates seraient les pionniers de la soi-disant « L’homme dans le navigateur »-Attaques ont été. Le logiciel malveillant a silencieusement écrémé toutes les données soumises par les victimes via un formulaire Web.

Voir aussi  Les pirates de Lockbit annoncent le premier gagnant de la prime de bogue

Comme Kaspersky l’a rapporté à l’époque, Zeus était « Inégalé dans son ampleur, son utilité et son efficacité ». Ils ont classé le cheval de Troie comme l’une des quatre principales variantes de ce type qui ne semblent jamais disparaître.

Le nom du groupe est dérivé du logiciel malveillant utilisé. Cela a été configuré pour leur envoyer un message Jabber instantané chaque fois qu’une nouvelle victime saisit un code de mot de passe à usage unique (OTP) sur un site de phishing se faisant passer pour sa banque.

Après avoir accédé aux comptes bancaires de leurs victimes, les pirates ont modifié la masse salariale de l’entreprise concernée. Ils ont également entré de faux employés. Les détails du compte de ces faux collègues appartenaient à « Moules d’argent »qu’ils ont recrutés dans le cadre de programmes de travail à domicile. Moins leurs commissions, les complices ont finalement transmis les montants entrants aux institutions financières d’Europe de l’Est, comme l’a rapporté Brian Krebs :

« Quand venait le temps de virer des fonds volés, les recruteurs envoyaient un message via le faux site Web de l’entreprise qui disait quelque chose comme, ‘Bonjour [Name des Maultiers hier]. Notre client – ​​XYZ Corp. – vous envoyer de l’argent aujourd’hui. Veuillez vous rendre à votre banque maintenant, retirer ce paiement en espèces, puis transférer l’argent en parts égales – moins votre commission – à ces trois personnes en Europe de l’Est. »

Le chat JabberZeus était un livre ouvert pour les lecteurs secrets

Krebs s’occupait de l’affaire JabberZeus depuis au moins 14 ans alors qu’il écrivait pour le Washington Post. À l’époque, l’une de ses sources avait eu accès aux conversations privées Jabber de l’équipage. Cela a mis en lumière la cybercriminalité professionnelle. Les forces de l’ordre ont également découvert le lien entre Evgeniy Bogachev, alias « lucky12345 », l’auteur présumé du cheval de Troie Zeus original, et l’équipage de JabberZeus.

Voir aussi  Portland City : Les responsables transfèrent 1,4 million de dollars aux pirates informatiques

Selon Krebs, les solides relations politiques de Penchukov l’ont aidé à échapper aux forces de l’ordre ukrainiennes depuis au moins 2010. En conséquence, le défunt fils de l’ancien président ukrainien Viktor Ianoukovitch aurait été le parrain de sa fille. En obtenant des conseils d’initiés d’un « contact SBU corrompu » reçu, Penchukov avait toujours le temps d’éviter les perquisitions. Krebs a ajouté qu’il avait eu de multiples occasions de détruire les preuves de sa cybercriminalité.

JabberZeus-Group : Des milliers d’ordinateurs professionnels piratés et des millions de dollars volés

Penchukov a été nommé pour la première fois dans un acte d’accusation du ministère américain de la Justice en 2012 avec Ivan Viktorvich Klepikov et Alexey Dmitrievich Bron comme l’un des chefs de l’équipe JabberZeus. Selon des documents judiciaires publiés par le ministère américain de la Justice (DoJ) en 2014, Penchukov et huit autres membres du groupe cybercriminel ont infecté « Des milliers d’ordinateurs professionnels » avec Zeus. Le logiciel malveillant est capable de voler des mots de passe, des numéros de compte et d’autres informations pertinentes pour se connecter à des comptes bancaires en ligne. Ces informations d’identification volées ont ensuite été utilisées pour siphonner des fonds des comptes. Le DoJ a qualifié le gang JabberZeus de « ransomware de grande envergure ».

Le FBI est toujours à la recherche d’autres membres de premier plan de JabberZeus. Y compris Ivan « nulle part » Klepikov et Alexey « thehead » Bron. Deux autres membres de JabberZeus, Yevhen Kulibaba et Yuriy Konovalenko, ont plaidé coupable en novembre 2014. A cette époque, ils ont été arrêtés et déportés de Grande-Bretagne. Le 28 mai 2015, elle a été condamnée à deux ans et dix mois de prison.

Voir aussi  Chansons d'Ed Sheeran volées : le pirate écope de 18 mois de prison

Les joies paternelles ont rendu le tank hacker insouciant

Krebs a rapporté que Gary Warner, directeur de recherche en criminalistique informatique à l’Université de l’Alabama à Birmingham, avait remarqué en 2014 que Tank avait dit aux membres de l’équipe lors d’un chat Jabber le 22 juillet 2009 que le nom de sa fille était Miloslava. Il les a également informés du poids de naissance de Miloslava. Warner a expliqué que ces informations identifiaient Tank comme étant Penchukov. Les registres de naissance ukrainiens ont montré que cet enfant était la seule fille nommée Miloslava qui est née ce jour-là avec exactement le poids de naissance spécifié.

Selon les médias, les enquêteurs suisses ont finalement arrêté Vyacheslav Igorevich Penchukov le 23 octobre 2022 à Genève. Il était à l’origine là pour rencontrer sa femme. Penchukov risque maintenant d’être extradé vers les États-Unis. Lors d’une audience le 24 octobre, il s’est toutefois prononcé contre la décision d’extradition. Penchukov devrait contester cela devant le Tribunal pénal fédéral suisse et la Cour suprême suisse.