Nouvelles

May 24, 2024

Le dernier des Gozi 3 écope de 36 mois pour programme d'opérations contre les logiciels malveillants • The Register

Le dernier des trois hommes soupçonnés d'avoir infecté des ordinateurs Windows avec le cheval de Troie bancaire Gozi a été condamné à trois ans de prison. Mihai Ionut Paunescu, 37 ans, aurait fourni le

Le dernier des trois hommes soupçonnés d'avoir infecté des ordinateurs Windows avec le cheval de Troie bancaire Gozi a été condamné à trois ans de prison.

Mihai Ionut Paunescu, 37 ans, aurait fourni l'hébergement à toute épreuve, si vital pour le fonctionnement efficace des opérations de malware, permettant à ses co-conspirateurs de distribuer le malware Gozi qui a volé des informations financières confidentielles sur des millions d'ordinateurs, parmi lesquels certains Windows. boîtes fonctionnant à la NASA.

Le ressortissant roumain, que le gouvernement fédéral dit également connu sous le nom de « Virus », a été condamné [PDF] à trois ans de prison lundi. Il a été extradé l'année dernière en Colombie, où il vivait apparemment après avoir été libéré sous caution suite à une arrestation en Roumanie en 2012.

Gozi est apparu en 2007 et a utilisé des campagnes de phishing pour infecter des millions de machines Windows, infligeant « des dizaines de millions de dollars de pertes » dans le monde. Selon les documents judiciaires, au moins 40 000 de ces ordinateurs se trouvaient aux États-Unis et certains appartenaient à la NASA. L'agence spatiale a été blessée à hauteur de 19 000 dollars, selon les documents judiciaires.

Le Reg a demandé des commentaires à l'avocat de Paunescu.

Selon la plainte originale [PDF], Paunescu avait loué un serveur dédié situé en Californie qui fonctionnait comme proxy pour les ordinateurs infectés par le virus Gozi ainsi que par le cheval de Troie Zeus. Les procureurs affirment que Paunescu avait loué des adresses IP auprès de FAI et les avait transmises à des criminels.

Le gouvernement fédéral estime que l'opération [PDF] a été dirigée par le Russe Nikita Kuzmin, alias « 76 », avec Paunescu et le Letton Dennis Čalovskis, alias « Miami », travaillant de concert avec lui. Sophos décrivait à l'époque le trio comme respectivement le « COO », le « CIO » et le « senior programmeur » du gang.

Le baron présumé Kuzmin a plaidé coupable aux accusations d'effraction informatique et de fraude en mai 2011 et a été condamné en mai 2016 à une peine de prison (37 mois) et a dû rembourser 6,9 millions de dollars, tandis que Čalovskis, qui, selon les procureurs, a écrit le code informatique avec certitude " "des injections Web" qui ont permis à Gozi de cibler des informations provenant de banques particulières, a été condamné en janvier 2016 à une peine de prison (21 mois) pour son rôle dans l'infraction.

Le gouvernement fédéral a décrit Kuzmin à la fois comme le créateur de Gozi et comme un « pionnier » dans le développement « d'un moyen innovant de le distribuer et d'en tirer profit ».

Un enquêteur anonyme a même déclaré au journaliste d'infosec Brian Krebs au moment des arrestations de 2013 que le « Service 76 » – faisant référence aux services fournis par Kuzmin dans les attaques de phishing sur les comptes bancaires des victimes – s'apparentait à « Salesforce pour les méchants ».

L'admiration réticente des experts en informatique du FBI qui ont aidé les responsables à enquêter semble s'être infiltrée dans le communiqué de presse de 2016 du bureau du procureur de New York annonçant sa condamnation, qui déclare :

Contrairement à de nombreux cybercriminels de l'époque, qui profitaient des logiciels malveillants uniquement en les utilisant pour voler de l'argent, Kuzmin a loué Gozi à d'autres criminels, pionnier du modèle des cybercriminels en tant que fournisseurs de services pour d'autres criminels. Pour un montant de 500 dollars par semaine payé en WebMoney, une monnaie numérique largement utilisée par les cybercriminels, Kuzmin a loué à d'autres criminels l'« exécutable » Gozi, le fichier qui pourrait être utilisé pour infecter les victimes avec le malware Gozi.

Paunescu, cependant, n'a plaidé coupable qu'au premier chef d'accusation, celui de complot en vue de commettre une intrusion informatique. Les deux autres accusations portées contre lui, complot en vue de commettre une fraude bancaire et complot en vue de commettre une fraude électronique, ont été rejetées par les procureurs lundi.

Le malware Gozi est encore largement utilisé par les criminels d'aujourd'hui, sa longévité étant attribuée en partie par les chercheurs de Checkpoint à un incident où le code source de la variante Gozi "ISFB" (par opposition à la variante Gozi CRM - et oui, cela signifie "Customer Relationship Management") a été divulgué entre 2013 et 2015. Les chercheurs sur les menaces le décrivent comme "effroyablement lucratif, même comparé au marché déjà lucratif de la cybercriminalité". Divers forks basés sur ISFB, notamment GozNym ou Dreambot, existent encore aujourd'hui. En octobre de l'année dernière, des chercheurs ont déclaré avoir remarqué qu'il évoluait pour prendre en charge les logiciels d'extorsion. ®