Bộ Tư pháp Hoa Kỳ (DoJ) cho biết một công dân Nga đã bị kết án hai năm tù vì quản lý một botnet được sử dụng để phát động các cuộc tấn công ransomware chống lại các công ty Hoa Kỳ.
Ilya Angelov, 40 tuổi, đến từ Tolyatti, Nga, cũng bị phạt 100.000 USD. Angelov, người sử dụng bí danh trực tuyến "milan" và "okart", được cho là đã đồng quản lý một nhóm tội phạm mạng có trụ sở tại Nga được gọi là TA551 (hay còn gọi là ATK236, G0127, Gold Cabin, Hive0106, Mario Kart, Monster Libra và Shathak) trong khoảng thời gian từ năm 2017 đến năm 2021.
"Nhóm của Angelov đã xây dựng một mạng lưới máy tính bị xâm nhập (một 'botnet') thông qua việc phân phối các tệp tin bị nhiễm malware đính kèm trong các email spam," DoJ cho biết. "Angelov và đồng quản lý của anh ta sau đó đã kiếm tiền từ botnet này bằng cách bán quyền truy cập vào các máy tính bị xâm nhập riêng lẻ ('bots')."
Theo bản ghi nhớ tuyên án, nhóm tội phạm đã phát triển các chương trình để phân phối email spam và tinh chỉnh malware để vượt qua các công cụ bảo mật. Angelov và đồng quản lý của anh ta đã tuyển dụng thành viên và giám sát các hoạt động khác nhau. Công cụ chính của nhóm là một backdoor cho phép tải phần mềm độc hại lên máy tính của nạn nhân.
Mục tiêu chính của các cuộc tấn công là bán lại quyền truy cập cho các nhóm tội phạm khác, những kẻ đã tận dụng nó cho các kế hoạch tống tiền ransomware. Từ tháng 8 năm 2018 đến tháng 12 năm 2019, TA551 đã cung cấp cho nhóm ransomware BitPaymer quyền truy cập vào botnet của mình, cho phép nhóm tội phạm mạng này lây nhiễm 72 tập đoàn Hoa Kỳ. Điều này đã dẫn đến hơn 14,17 triệu USD tiền chuộc.
Các nhà điều hành malware IcedID cũng đã trả cho nhóm của Angelov hơn một triệu USD để có được quyền truy cập vào botnet vào cuối năm 2019 hoặc đầu năm 2020 và phân phối ransomware, mặc dù mức độ thiệt hại hiện chưa được biết. Người ta nghi ngờ rằng mối quan hệ đối tác này phát triển sau khi nhóm BitPaymer bị phá vỡ. Sự hợp tác kéo dài đến khoảng tháng 8 năm 2021, theo Cục Điều tra Liên bang Hoa Kỳ (FBI).
Vào tháng 11 năm 2021, Cybereason tiết lộ rằng các nhà điều hành trojan TrickBot đang hợp tác với TA551 để phân phối Conti Ransomware. Cùng tháng đó, Đội ứng phó khẩn cấp máy tính của Pháp (CERT-FR) cũng tiết lộ rằng băng nhóm ransomware Lockean đang sử dụng các dịch vụ phân phối do TA551 cung cấp sau khi cơ quan thực thi pháp luật triệt phá botnet Emotet vào đầu năm 2021.
"Các tội phạm mạng nước ngoài như bị cáo này nhắm mục tiêu vào công dân và các tập đoàn Hoa Kỳ," Luật sư Hoa Kỳ Jerome F. Gorgon Jr. cho biết trong một tuyên bố. "Các phương pháp của chúng ngày càng tinh vi. Nhưng động cơ của chúng vẫn như cũ – cướp bóc và gây hại cho chúng ta."
