Das Urteil gegen einen der Betreiber hinter einem gigantischen Phishing-Netzwerk macht deutlich, dass internationale Forschung das Gehirn von Cyber-Operationen erreichen kann, auch wenn sie sich außerhalb der Vereinigten Staaten befinden. Ilya Angelov, ein 40-jähriger russischer Staatsbürger, der von den Alias "Milan" und "okart" im Netz bekannt war, wurde zu zwei Jahren Gefängnis verurteilt, nachdem er zugestimmt hatte, dass das Botnet, das er direkt half, verwendet wurde, um BitPaymers zufällige Angriffe auf Dutzende amerikanische Unternehmen zu erleichtern.
Die Gerichtsdokumente zeigen, dass Angelov nicht allein handelte: Er war Teil eines Teams, das das FBI "Mario Kart" nannte und dass Sicherheitsanalysten mit Namen wie identifiziert haben TA551, Shathak, GOLD CABIN, Monster Libra, ATK236 und G0127. In dieser Struktur, Führer rekrutiert und koordinierte Malware-Entwickler, Spam-Kampagne Operatoren und Spezialisten, die schädliche Proben angepasst, um Verteidigung zu umgehen. Das Ergebnis war eine Infrastruktur in der Lage, Hunderttausende von schädlichen E-Mails zu senden und verpflichtete Computer in Teile eines vermarktbaren Botnet umzuwandeln.
Laut der Anklage könnte die Spam-Kampagne Spitzen von bis zu erreichen 700.000 E-Mails am Tag und zu seinen aktivsten Zeiten könnte das Netzwerk infizieren 3.000 Maschinen pro Tag. Die infizierten Teams wurden gemietet oder an andere kriminelle Akteure verkauft: es war der Eintrag des Ransomware-as-a-Service (RaaS) Ökosystems. Das Justizministerium teilt mit, dass mehr als 70 Unternehmen der Vereinigten Staaten von Amerika von Mitgliedern infiziert wurden, die den Zugang dieser Gruppe genutzt haben, und dass die damit verbundene Erpressung die $14 Millionen. Leser können die offizielle DOJ-Veröffentlichung für mehr Kontext in die Website des Justizministeriums und öffentliche gerichtliche Dokumente überprüfen Dokumentwolke.
Die kriminelle Aktivität dieser Gruppe wurde zwischen 2017 und 2021 verlängert. Zwischen August 2018 und Dezember 2019 erlaubten mehrere netzbezogene Intrusionen die Infektion mit BitPaymer, eine ansomware, die Unternehmen durch Verschlüsselungs- und Zahlungsanforderungen überwunden hat. Darüber hinaus kamen andere Akteure wie die Gruppe, die mit der Bank Trojan IcedID verbunden ist, um über $1 Million Angelovs Team für den Zugang zu seinen Bots zwischen Ende 2019 und August 2021, was verdeutlicht, wie diese unerlaubten Wirtschaften sich gegenseitig ernähren.
Der Fall zeigt auch die Komplexität von Allianzen zwischen Kriminellen: Phishing-Kampagnen wie TA551 haben historisch mit Bands zusammengearbeitet, die Conti oder andere Ransomware durch Infrastruktur wie TrickBot oder QakBot / Qbot verteilt haben, und haben zur Lieferung von Familien wie ProLock, Egregor oder DoppelPaymer beigetragen, nach Warnungen und Analyse von Antwortteams und Sicherheitsunternehmen. Um die Bedrohung der Ransomware besser zu verstehen und wie diese Akteure integriert sind, ist es nützlich, Sicherheitsanalysen und öffentliche Warnungen zu überprüfen; zum Beispiel die FBI-Seite auf der Ransomware-Phänomen bietet Ressourcen und allgemeinen Kontext auf der Bedrohung: FBI - Cyberresearch.
Angelovs Erscheinung und Vereinbarung hatten geopolitische Nuancen: Der Angeklagte beschloss, nach der russischen Invasion der Ukraine im Jahr 2022 in die Vereinigten Staaten zu reisen und schuldig zu plädieren, und nach der Verhaftung in der Schweiz eines Mitarbeiters im Zusammenhang mit der IcedID-Band. Solche Bewegungen auf der Tabelle, wie Veränderungen im internationalen Kontext und Polizeiaktionen in Drittländern die Risikogleichung für angebliche digitale Kriminelle verändern können.
Parallel dazu, ein neuer Fall, der die Funktion des Anrufs zurückruftErster Zugriffsbroker(initial access broker) ist die Überzeugung von Aleksey Olegovich Volkov, die fast sieben Jahre im Gefängnis für den Verkauf von Zugang zu Netzwerken erhielt, die später von der Yanluowang ansomware genutzt wurden. Diese Prozesse betonen, dass nicht nur diejenigen, die die Verschlüsselung direkt ausführen, verfolgt werden; so sind diejenigen, die den anfänglichen Zugriff erzeugen und vertreiben, der die Angriffe erlaubt.
Was bedeutet das für Unternehmen und Nutzer? Erstens, dass die kriminelle Kette, die die Ransomware erleichtert ist anspruchsvoll und modular: es gibt Teams spezialisiert auf Phishing, andere in der Malware-Entwicklung und andere in Zahlungsverhandlungen und Waschen. Zweitens können gerichtliche Interventionen und internationale Zusammenarbeit diese Kette treffen, aber sie beseitigen sie nicht vollständig. Es ist daher kritisch, dass Organisationen grundlegende und effektive präventive Maßnahmen stärken: Postkontrollen, Netzwerksegmentierung, verifiziertes Backup, anormale Aktivitätsüberwachung und Reaktionspläne. Agenturen wie CISA halten praktische Anleitungen, um von Ransomware-Angriffen zu mildern und zu erholen.
Dieser Fall erinnert daran, dass im Kampf gegen Cyberkriminalität Technologie und rechtliche Zusammenarbeit Hand in Hand gehen muss. Die Betreiber adaptieren und suchen neue Wege der Monetarisierung, aber die Kombination von technischer Intelligenz, grenzüberschreitenden Untersuchungen und die Anhäufung gerichtlicher Fälle zeigt, dass es einen Weg gibt, diejenigen zu halten, die die digitale Erpressung verantwortlich machen. Für diejenigen, die die Sicherheit in Unternehmen verwalten, ist die Lektion klar: Vorbeugung und Vorbereitung sind nicht optional, und Überwachung, wie eine einfache Post kann das Tor zu einem Vorfall, dass Millionen Kosten müssen Teil der Unternehmensstrategie sein.
Um Informationen über den Fall und die offiziellen Dokumente zu erweitern, wenden Sie sich bitte an die Erklärung des Justizministeriums und die oben angegebene Datei in DocumentCloud sowie spezialisierte Berichte, die die Nachrichten und das kriminelle Gewebe, zum Beispiel in BlepingComputer.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...