Un cybercriminel ukrainien écope de cinq ans de prison

Un tribunal des États-Unis a condamné hier un ressortissant ukrainien à une peine de cinq ans de prison pour son rôle dans une frénésie mondiale de cybercriminalité de dix ans qui a volé plus de 20 millions de dossiers de cartes de clients et rapporté plus de 1 milliard de dollars de produits.

Denys Iarnak, 32 ans, a agi en tant que testeur d’intrusion pour le compte du lien de cybercriminalité FIN7, qui est également suivi sous le nom de Carbon Spider et Gold Niagara. Le groupe basé en Russie a récemment été associé à l’utilisation des ransomwares REvil et Darkside.

Il a été arrêté en Thaïlande en 2019, puis extradé vers les États-Unis pour y être jugé, et a plaidé coupable en novembre dernier à une accusation de fraude électronique et à une accusation de complot en vue de commettre un piratage informatique. Deux autres membres du collectif, arrêtés en 2018, ont déjà été emprisonnés pour des infractions similaires.

« Iarmak et ses conspirateurs ont compromis des millions de comptes financiers, causant plus d’un milliard de dollars de pertes aux Américains et de coûts à l’économie américaine », a déclaré le procureur général adjoint Kenneth Polite de la division criminelle du ministère de la Justice.

« La protection des entreprises, grandes et petites, en ligne est une priorité absolue pour le ministère de la Justice. Nous nous engageons à travailler avec nos partenaires internationaux pour tenir ces cybercriminels responsables, peu importe où ils vivent ou à quel point ils pensent être anonymes. »

L’avocat américain Nicholas Brown du district ouest de Washington, qui s’est occupé de l’accusation, a ajouté: « Iarmak a été directement impliqué dans la conception d’e-mails de phishing intégrés à des logiciels malveillants, l’intrusion dans les réseaux des victimes et l’extraction de données telles que les informations de carte de paiement.

« Pour aggraver les choses, il a continué son travail avec l’entreprise criminelle FIN7 même après les arrestations et les poursuites contre les co-conspirateurs. Lui et d’autres membres de ce groupe de cybercriminalité ont utilisé des techniques de piratage pour voler des milliers d’emplacements de plusieurs chaînes de restaurants à la fois, dans le confort et la sécurité de leurs claviers dans des pays lointains.

Le tribunal a entendu comment FIN7 a accédé aux réseaux d’entreprises aux États-Unis, au Royaume-Uni, en Australie et en France, volant des enregistrements de plus de 6 500 terminaux de point de vente dans plus de 3 600 emplacements. Les victimes connues aux États-Unis comprennent des chaînes de restaurants telles que Chipotle et Panera, ainsi que des détaillants Saks Fifth Avenue et Lord & Taylor.

Il a généralement favorisé les entreprises du secteur de l’hôtellerie, qu’il a ciblées avec des courriels de phishing sur mesure, en effectuant un suivi en passant des appels téléphoniques à ses victimes visées, conférant une légitimité supplémentaire à ses leurres.

Une fois que ses cibles ont été convaincues d’ouvrir et d’exécuter le fichier joint à l’e-mail, FIN7 a utilisé une version adaptée du malware Carbanak et d’autres outils pour accéder et voler les données de la carte de paiement des clients. Une grande partie de ces données est ensuite apparue en vente sur le dark web.

Notez que le groupe a été suivi comme Carbanak par certains chercheurs, mais comme d’autres groupes de cybercriminalité sont connus pour utiliser Carbanak, il peut ne pas être strictement exact de se référer à FIN7 par ce nom.

Iarmak s’est impliqué dans le groupe vers novembre 2016 et a travaillé pour lui sur une période de deux ans. Il s’est spécialisé dans l’utilisation du progiciel de gestion de projet légitime Jira, que FIN7 hébergeait sur divers serveurs virtuels privés, pour coordonner les activités du gang et gérer ses intrusions sur le réseau.

Les autorités estiment qu’il a reçu une compensation substantielle pour son travail pour FIN7, dont la valeur aurait « largement dépassé l’emploi légitime comparable en Ukraine ».

Toujours très actif

Malgré les arrestations et les condamnations de membres clés de FIN7, le groupe reste actif et continue de faire évoluer ses tactiques, techniques et procédures.

Plus tôt en avril, des chercheurs de Mandiant, qui ont joué un rôle déterminant dans le suivi de FIN7, ont publié de nouveaux renseignements détaillant les dernières activités du groupe.

Récemment, il s’est tourné avec enthousiasme vers le compromis de la chaîne d’approvisionnement comme moyen d’accéder à ses victimes prévues; L’année dernière, a révélé Mandiant, FIN7 a compromis un détaillant en ligne de produits numériques et modifié plusieurs liens de téléchargement pour diriger vers un compartiment Amazon S3 hébergeant des versions trojanisées contenant un programme d’installation d’agent qui a été utilisé pour déployer une nouvelle porte dérobée appelée Powerplant.

Mandiant a déclaré que le cadre de Powerplant permet une « vaste » gamme de capacités, en fonction des modules livrés à partir du serveur de commande et de contrôle (C2), et est donc très dangereux.