En 2024, les acteurs de la menace ont continué d’être extrêmement actifs. Les cyberattaques majeures se sont produites dans plusieurs industries et les attaques de ransomwares ont augmenté d’année en année. Ces attaques ont eu d’énormes implications financières et de réputation pour tous ceux qui sont ciblés. Cependant, à l’échelle internationale, les forces de l’ordre ont continué de riposter contre les cyber-acteurs produisant plusieurs arrestations importantes et importantes.
Dans ce blog, nous explorons certaines des activités et arrestations d’application de la loi les plus notables.
Opération Cronos
Dirigée par la National Crime Agency (NCA) du Royaume-Uni, cette opération internationale a ciblé le Cartel de Lockbit Ransomware. L’opération a démantelé l’infrastructure clé et a révélé l’identité du chef du groupe, Dmitry Yuryevich Khorosev, sapant les opérations du gang. Le site Web sombre des groupes a été mis hors ligne pendant un certain temps. Soulignant une nouvelle technique par les forces de l’ordre, la NCA a «détourné» le site de fuite afin de mettre à jour les actions d’Op Cronos.
Figure 1: Site de fuite de verrouillage pris par NCA
Rui-Siang Lin (alias «Pharoah»)
En mai 2024, Rui-Siang Lin a été arrêté à l’aéroport JFK pour avoir opéré «Incognito Market», un marché sombre des stupéfiants Web qui a facilité plus de 100 millions de dollars en ventes de drogues illégales dans le monde. Le ressortissant taïwanais est passé par l’alias «Pharoah» sur le site de la drogue du Dark. Selon l’acte d’accusation en tant que «leader du marché incognito – Lin a supervisé toutes ses opérations, y compris ses employés, ses fournisseurs et ses clients, et avait une autorité de prise de décision ultime sur tous les aspects de l’opération de plusieurs millions de dollars.»
Dans une étrange tournure de l’histoire, il est apparu que Lin avait en fait formé des agents de l’application des lois à Sainte-Lucie sur la cybercriminalité et la crypto-monnaie sur la toile sombre qui avait été organisée par l’ambassade taïwanaise.
Violation de données de flocon de neige
En juin 2024, au moins 100 clients de flocon de neige ont été touchés par une cyberattaque. Les acteurs de la menace ont utilisé des informations d’identification exposées pour se connecter aux portails de flocon de neige et ciblent leurs clients pour l’exfiltration des données. Ils ont ensuite vendu ces informations sur le Web Dark pour un gain financier. Les cibles de haut niveau comprenaient Ticketmaster, AT&T et Santander.
En novembre 2024, les autorités canadiennes ont arrêté Alexander Connor Moucka accusé d’avoir compromis plusieurs comptes de stockage de nuages de flocons de neige et la demande de l’application des lois américaines. De plus, les États-Unis ont facturé John Binns dans le cadre de ces violations, mettant en évidence la collaboration internationale dans la lutte contre les cyber-menaces.
Figure 3: Données Ticketmaster annoncées sur le DW
Tenzin Orgil
En mai 2024, Tenzin Orgil a été condamné à 168 mois de prison fédérale pour avoir participé à une entreprise de trafic de drogue qui comprenait la vente de méthamphétamine et de fentanyl sur la toile sombre, ainsi que la fabrication d’ecstasy et de méthamphétamine dans les laboratoires clandestes. Orgil avait opéré plusieurs marchés Web sombres sous plusieurs alias vendant les médicaments qu’il a produits dans les laboratoires souterrains. Le résident du comté d’Orange a plaidé coupable aux accusations en 2023.
Figure 4: Source: Darkowl Vision
Mikhail Pavlovich Matveev (alias Wazawaka)
Une figure importante de la communauté des ransomwares, Mikail Pavlovich Matveev a été arrêtée en Russie pour son implication dans les cybercrimes contre les entités russes. Cette arrestation a signalé un changement potentiel de la position de la Russie vers les cybercriminels intérieurs.
Selon le FBI, Matveev est lié à plusieurs variantes de ransomware, notamment Lockbit, Hive et Babuk. Il avait déjà été inculpé par le gouvernement américain pour crimes informatiques en 2022 mais est resté en Russie.
Il aurait mené des attaques importantes contre les États-Unis et les entreprises mondiales, notamment des infrastructures critiques. Matveev a été identifié comme l’un des développeurs / administrateurs présumés derrière la variante Babuk Ransomware. Matveev a été accusé de plusieurs attaques de verrouillage qui comprenaient un service de police situé dans le New Jersey. Il a également été accusé de plusieurs attaques de Babuk, notamment l’attaque contre le service de police métropolitain de Washington DC. En outre, Matveev a été accusé de dénombrements de complot et de dommages intentionnels liés à Hive à un ordinateur protégé, y compris une attaque contre une société basée au New Jersey.
Groupe d’araignée dispersé
À la suite d’attaques de haut niveau contre des sociétés comme Okta, MGM et Caesars par un groupe connu sous le nom de dispersion Spider, les autorités ont arrêté plusieurs membres du groupe.
Les individus, dont Ahmed Hossam Eldin Elbadawy, Noah Michael Urban, Evans Onyeaka Osiebo, Joel Martin Evans et Tyler Robert Buchanan, ont fait face à des accusations liées à la fraude par fil et au vol d’identité. Les responsables ont déclaré que l’activité illégale des suspects s’étalait à partir de septembre 2021 et avril 2023.
L’araignée dispersée est un groupe de jeunes affilié vaguement évalué comme basé aux États-Unis et au Royaume-Uni qui ont mené de multiples attaques de cyber et ransomwares. Ils sont connus pour mener des attaques de phishing sophistiquées et des attaques d’ingénierie sociale contre les centres d’appels afin de se rendre accès. Ils sont également affiliés à plusieurs groupes de ransomwares. Selon les chercheurs en sécurité, «le groupe a été blâmé pour des vitesses de cybercriminalité inhabituellement agressives, ciblant les grandes sociétés multinationales ainsi que des investisseurs individuels de crypto-monnaie».
Opération Endgame Game
Europol a coordonné une vaste opération contre les botnets, conduisant à plusieurs arrestations et à la saisie de centaines de serveurs. Les plates-formes ciblées de répression facilitant le déploiement des ransomwares, perturbant considérablement l’écosystème de la cybercriminalité.
Selon Europol, entre le 27 et le 29 mai 2024, Operation Endgame a ciblé des gouttes, notamment, Icedid, SystemBC, Pikabot, SmokeLoader, Bumblebee et Trickbot. L’agence s’est concentrée sur l’arrestation de personnes de grande valeur, l’abandon des infrastructures et le suivi et la saisie des paiements de crypto-monnaie. L’opération consistait en la contribution de plusieurs pays différents ainsi que des sociétés privées soulignant la nécessité d’efforts coordonnés pour arrêter ces cyber-activités qui n’ont pas de frontières.
Conclusion
Bien que les forces de l’ordre aient beaucoup réussi à cibler un certain nombre d’acteurs et de groupes criminels de menaces de haut niveau en 2024, de nombreux groupes continuent de fonctionner sous des formes légèrement différentes. La nature des cyber-opérations criminelles signifie qu’elles sont très difficiles à combattre. Les acteurs sont répartis dans tout le monde, généralement dans des pays qui ne coopèrent pas avec les agences américaines et européennes d’application de la loi. Cependant, il est important que les forces de l’ordre continuent d’envoyer un message selon lequel ces activités peuvent être combattues et qu’il y a des conséquences à ces actions.
Alors que nous entrons en 2025, nous nous attendons à ce que les activités d’application de la loi continuent de lutter contre l’augmentation des attaques de ransomwares et perturbent les marchés et d’autres domaines où les criminels opèrent. Cependant, le pardon du propriétaire de Silk Road, Ross Ulbricht, par le président Trump, semble envoyer un message selon lequel la clémence sera montrée à certains de ceux qui profitent d’activités criminelles.
