A défaut d’arrêter les hackers, faire du “name and shame” et frapper les cybercriminels au portefeuille. Voici la logique des deux communiqués des administrations américaines et du Royaume-Uni, publié jeudi 9 février.
Ces documents en effet nommés sept personnes, désormais frappées par des sanctions économiques car suspectées d’être à la manœuvre derrière le cheval de troie Trickbot. Si l’on peut questionner l’efficacité de ces sanctions, les personnes visées vivant toutes en Russie, les informations dévoilées par les Etats-Unis et le Royaume-Uni permettent de jeter un nouveau coup de projecteur sur le gang derrière Trickbot.
Ce programme défectueux est apparu en 2016, qui a trouvé ses racines dans Dyre, un cheval de Troie bancaire, est devenu une sorte de couteau-suisse du cybercrime grâce à un enrichissement considérable en fonctionnalités. Ce qui avait obligé les militaires de l’US Cyber command à sortir l’artillerie lourde en visant l’infrastructure de Trickbot du malware à l’automne 2020. Le logiciel aurait drainé un total astronomique d’au moins 724 millions de dollars en cryptomonnaie , selon le spécialiste de l’analyse des flux sur la blockchain Chainalysis.
Un proche de Bogachev
Selon le communiqué américain, un russe, Vitaly Kovalev, alias « Bentley », serait un haut responsable de cette organisation criminelle. Un suspect particulièrement intéressant. Pour un cadre de la société de renseignement Intel471, cité par le journaliste spécialisé Brian Krebs, “Bentley” aurait en effet travaillé avec Evgeniy Bogachev, l’informaticien soupçonné d’être le créateur du terrible cheval de troie GameOverZeus. Comme on vient de l’apprendre, Vitaly Kovalev est déjà sous le coup d’une enquête pénale aux États-Unis. Il est suspecté d’avoir volé avec plusieurs complices près d’un million de dollars après avoir piraté des comptes bancaires entre 2009 et 2010.
Ivan Vakhromeyev, alias “Mushroom”, est quant à lui suspecté d’être un cadre intermédiaire de l’organisation criminelle, un “manager”, sans plus de précisions. “Badget” et “Globus” – Maksim Mikhailov et Valentin Karyagin à l’état-civil – seraient eux impliqués dans le développement de programmes malveillants. Dmitry Pleshevskiy – “Iseldor” – est soupçonné d’être un spécialiste de l’injection de code malveillant dans des sites, une façon de voler des informations d’identification. Enfin, Valery Sedletski, alias « Strix », se serait spécialisé dans la gestion des serveurs tandis que Mikhail Iskritskiy – « Tropa » – aurait lui mené des tâches autour du blanchiment.
Associés au renseignement russe
Au-delà de ces sept noms et des rôles attribués à chacun, les administrations américaines et britanniques définissent les opérateurs de Trickbot comme des « associés aux services de renseignement russes », notamment après des attaques informatiques qui ont ciblé le gouvernement américain et des entreprises de ce paie.
L’administration américaine estime également que le groupe Trickbot, au-delà de la simple vente d’accès initiaux compromis, est derrière de nombreuses attaques contre des hôpitaux durant la pandémie du Covid-19. De même, les autorités britanniques ont établi un lien fort avec deux groupes de rançongiciels dévastateurs, Conti et Ryuk, sans toutefois préciser la nature exacte des relations.
Mais un nom brille par son absence dans l’opération de “name and shame”. Il n’est ainsi pas fait état de “Stern”, désigné à la fois comme l’un des patrons du gang Conti ou comme l’administrateur de Trickbot, selon les sources. Ou, comme en rappel le Chainalysis, les flux de cryptomonnaies montrent que “Stern” a envoyé des fonds à quatre des sept personnes qui viennent d’être désignées comme les opérateurs du cheval de troie. La future cible d’une nouvelle vague de sanctions financières ?
Sélectionné pour vous
