O nacional bielorrusso-ucraniano Maksim Silnikau foi preso na Espanha e agora está sendo extraditado para os EUA para enfrentar acusações por criar a operação de ransomware Ransom Cartel em 2021 e executar uma operação de malvertising de 2013 a 2022.
O agente de ameaças operava sob os pseudônimos "J.P.
Morgan," "xxx," e "lansky" em fóruns de hacking de língua russa, onde supostamente promovia as operações de cibercrime.
As autoridades revelaram duas acusações separadas: uma para o Distrito de Nova Jersey referente à operação de malvertising e uma para o Distrito Oriental da Virgínia referente à operação Ransom Cartel.
Cúmplices, Volodymyr Kadariya, um nacional bielorrusso e ucraniano, de 38 anos, e Andrei Tarasov, um nacional russo, de 33 anos, também foram acusados por seu papel na operação de malvertising.
"Esses conspiradores são acusados de operar um esquema de vários anos para distribuir malware nos computadores de milhões de usuários da internet desavisados ao redor do globo," disse o procurador dos EUA Philip R.
Sellinger para o Distrito de Nova Jersey.
Para realizar o esquema, eles usaram publicidade maliciosa, ou 'malvertising', para enganar vítimas a clicar em anúncios de internet que pareciam legítimos.
A Agência Nacional de Crime do Reino Unido anunciou hoje que Silnikau foi preso na Espanha em 18 de julho de 2023.
Uma operação internacional coordenada pela NCA resultou na prisão e extradição de um homem considerado um dos atores de cibercrime de língua russa mais prolíficos do mundo.
Ransom Cartel é uma operação de ransomware que foi lançada em dezembro de 2021, compartilhando extensas similaridades de código com a família REvil.
A falta de obfuscação forte levou os analistas a assumirem que foi a criação de um membro central que estava sem o motor de obfuscação encontrado no REvil, em vez de um reboot/rebrand da mesma equipe de cibercriminosos.
De acordo com a acusação, Silnikau criou e administrava o Ransom Cartel, gerenciando a operação de "ransomware-as-a-service" e recrutando outros cibercriminosos de fóruns de língua russa para participarem dos ataques.
Ele também negociou com "initial access brokers" (IABs) que forneciam acesso a redes corporativas comprometidas, gerenciava comunicações com vítimas e lidava com pagamentos de resgate.
Silnikau também transferiu pagamentos de resgate através de cryptocurrency mixers para obscurecer o rastro do dinheiro e complicar os esforços de aplicação da lei, mantendo claramente um papel central na operação.
A NCA também afirma que Silnikau estava por trás do notório trojan Reveton, um malware para Windows que bloqueava usuários fora do sistema operacional até que um resgate fosse pago.
O malware foi lançado em 2011 e fingia ser a aplicação da lei bloqueando um computador devido à detecção de pornografia infantil e material protegido por direitos autorais.
Para ter acesso ao computador novamente, as vítimas eram obrigadas a enviar um resgate via MoneyPak, PaySafeCard, ou outros pagamentos online.
O malware predominantemente se passava por agências de aplicação da lei do Reino Unido e dos EUA.
Entre 2012 e 2014, Reveton foi vendido para outros cibercriminosos que o distribuíram intensivamente através de sites comprometidos com exploit kits.
A NCA relata que a operação Reveton gerou $400,000 entre 2011 e 2013.
O sucesso da operação também estimulou outros cibercriminosos a lançar lockers similares, como as famílias de Ransomware Urausy e Harasom, que eram, em muitos casos, indistinguíveis de Reveton.
Infelizmente, o malware foi tão bem-sucedido que levou a que alguém tirasse a vida dele e de seu filho, por medo de ser preso.
O réu também é suspeito de orquestrar e executar um grande esquema de malvertising de outubro de 2013 a março de 2022.
Suas responsabilidades primárias incluíam desenvolver e distribuir anúncios maliciosos que pareciam legítimos, mas redirecionavam os usuários para sites contendo exploit kits do Internet Explorer, malware, scareware e golpes online.
Especificamente, a operação distribuiu o seguinte:
Angler Exploit Kit (AEK): Projetado para explorar falhas em navegadores web e plugins para entregar payloads adicionais nos dispositivos comprometidos.
Locker malware: Um tipo de ferramenta de ransomware 'lite' que impede a vítima de acessar seus dados, muitas vezes exigindo um pagamento para restaurar o acesso.
Scareware: Ferramentas de engano que alegavam infecções nos computadores das vítimas através de alertas forjados, induzindo-os a baixar software prejudicial ou fornecer informações pessoais aos cibercriminosos.
Silnikau usou vários aliases online e empresas falsas para enganar as plataformas de publicidade abusadas e esteve diretamente envolvido na venda de acesso a dispositivos comprometidos por meio deste esquema.
Além disso, ele colaborou no desenvolvimento e manutenção da infraestrutura técnica, como Traffic Distribution Systems (TDSes), para gerenciar e direcionar suas campanhas maliciosas de forma mais eficaz.
Maksim Silnikau enfrenta consequências legais significativas com base nas acusações em ambas as acusações, incluindo penas de prisão por fraude eletrônica, fraude de computador, fraude de computador e abuso, roubo de identidade agravado e fraude de dispositivo de acesso.
Silnikau pode potencialmente enfrentar uma sentença que excede 100 anos de prisão se condenado por todas as acusações, embora o tempo de sentença seja tipicamente muito menor devido às penas serem cumpridas simultaneamente.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...