Le verdict rendu contre l'un des opérateurs derrière un gigantesque réseau d'hameçonnage indique clairement que la recherche internationale peut atteindre le cerveau des cyberopérations, même lorsqu'elles sont situées en dehors des États-Unis. Ilya Angelov, un citoyen russe de 40 ans connu sur le réseau par l'alias "Milan" et "okart", a été condamné à deux ans de prison après avoir admis que le botnet qu'il a aidé direct a été utilisé pour faciliter les attaques aléatoires de BitPaymer sur des dizaines de sociétés américaines.
Les documents du tribunal montrent qu'Angelov n'a pas agi seul : il faisait partie d'une équipe du FBI appelée "Mario Kart" et que les analystes de la sécurité se sont identifiés avec des noms comme TA551, Shathak, GOLD CABIN, Monster Libra, ATK236 et G0127. Dans cette structure, les dirigeants ont recruté et coordonné les développeurs de logiciels malveillants, les opérateurs de campagnes de spam et les spécialistes qui ont adapté des échantillons malveillants pour échapper aux défenses. Le résultat a été une infrastructure capable d'envoyer des centaines de milliers de courriels malveillants et de convertir des ordinateurs engagés en parties d'un botnet commercialisable.
Selon l'accusation, la campagne de spam pourrait atteindre des sommets jusqu'à 700 000 e-mails par jour et à ses moments les plus actifs le réseau pourrait infecter 3000 machines par jour. Les équipes infectées ont été louées ou vendues à d'autres acteurs criminels : c'était la pièce d'entrée de l'écosystème Ransomware-as-a-Service (RaaS). Le ministère de la Justice précise que plus de 70 sociétés américaines ont été infectées par des membres qui utilisaient l'accès vendu par ce groupe, et que l'extorsion connexe a dépassé le seuil de la 14 millions. Les lecteurs peuvent consulter la version officielle du MJ pour plus de contexte dans le site du ministère de la Justice et contrôle des documents judiciaires publics DocumentCloud.
L'activité criminelle attribuée à ce groupe a été prolongée entre 2017 et 2021. Entre août 2018 et décembre 2019, plusieurs intrusions liées au réseau ont permis l'infection BitPaymer, un ansomware qui a ravagé les entreprises par le cryptage et les exigences de paiement. En outre, d'autres acteurs tels que le groupe lié à la banque Trojan IcedID sont venus payer environ 1 million de dollars L'équipe d'Angelov pour l'accès à ses robots entre la fin de 2019 et août 2021, qui illustre comment ces économies illicites se nourrissent.
L'affaire montre également la complexité des alliances entre les criminels : les opérateurs de campagne d'hameçonnage tels que TA551 ont historiquement collaboré avec des bandes qui distribuaient Conti ou d'autres ransomwares à travers des infrastructures telles que TrickBot ou QakBot / Qbot, et ont contribué à la livraison de familles telles que ProLock, Egregor ou DoppelPaymer, selon les alertes et l'analyse des équipes d'intervention et des sociétés de sécurité. Pour mieux comprendre la menace du Ransomware et comment ces acteurs sont intégrés, il est utile de revoir l'analyse de sécurité et les avertissements publics; par exemple, la page du FBI sur le phénomène Ransomware offre des ressources et un contexte général sur la menace: FBI - cyberrecherche.
L'apparence et l'accord d'Angelov avaient des nuances géopolitiques : l'accusé a décidé de se rendre aux États-Unis pour se rendre et plaider coupable après l'invasion russe de l'Ukraine en 2022 et après l'arrestation en Suisse d'un collaborateur lié à la bande IcediD. Ces mouvements mettent sur la table la manière dont les changements dans le contexte international et les actions policières dans les pays tiers peuvent modifier l'équation de risque pour les présumés criminels numériques.
En parallèle, un autre cas récent qui rappelle la fonction de l'appelcourtier d'accès initial(courtier d'accès initial) est la condamnation d'Aleksey Olegovich Volkov, qui a reçu près de sept ans de prison pour avoir vendu l'accès aux réseaux qui ont ensuite été exploités par l'ansomware Yanluowang. Ces processus soulignent que non seulement ceux qui exécutent le chiffrement directement sont persécutés, mais aussi ceux qui génèrent et font circuler l'accès initial qui permet les attaques.
Que signifie tout cela pour les entreprises et les utilisateurs? Premièrement, que la chaîne criminelle qui facilite le ransomware est sophistiquée et modulaire: il y a des équipes spécialisées dans le phishing, d'autres dans le développement de logiciels malveillants et d'autres dans la négociation de paiement et le blanchiment. Deuxièmement, l'intervention judiciaire et la coopération internationale peuvent frapper cette chaîne, mais elles ne l'élimineront pas complètement. Il est donc essentiel que les organisations renforcent les mesures de prévention de base et efficaces : contrôles du courrier, segmentation du réseau, sauvegarde vérifiée, surveillance des activités anormales et plans d'intervention. Des agences comme CISA maintenir des guides pratiques pour atténuer et récupérer des attaques ransomware.
Cette affaire rappelle que, dans la lutte contre la cybercriminalité, la technologie et la coopération juridique doivent aller de pair. Les opérateurs s'adaptent et cherchent de nouveaux moyens de monétisation, mais la combinaison du renseignement technique, des enquêtes transfrontalières et de l'accumulation d'affaires judiciaires montre qu'il existe un moyen de tenir responsables ceux qui organisent et permettent l'extorsion numérique. Pour ceux qui gèrent la sécurité dans les entreprises, la leçon est claire : la prévention et la préparation ne sont pas facultatives, et la surveillance de la façon dont un simple courrier peut devenir la passerelle d'un incident qui coûte des millions doit faire partie de la stratégie de l'entreprise.
Pour plus d'information sur l'affaire et les documents officiels, veuillez consulter la déclaration du ministère de la Justice et le dossier dans DocumentCloud mentionné ci-dessus, ainsi que les rapports spécialisés qui ont couvert les nouvelles et le tissu criminel, par exemple, dans Calculateur.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...