Blackmarket : les pirates derriére GozNym arrêtés

Posted On 18 Mai 2019

Tag: AVALANCHE NETWORK, bot, GozNym, hack tool, NoNe

Le Ministère de la Justice Américaine et Europol continuent leur ménage dans le blackmarket. Le groupe de pirates GozNym stoppé. Cinq membres en fuite.

Le groupe de pirates informatiques derrière le « hack tool » GozNym était connu dans certains blackmarket pour être le fournisseur d’un logiciel d’espionnage destiné aux données bancaires. GozNym était constitué de 2 éléments malveillants : Nymaim et Gozi. Nymaim permet d’infiltrer les ordinateurs. Utilisé durant plusieurs années pour installer des ransomwares. Gozi, un outil qui vient de fêter ses 12 ans d’existence. Son cœur de « métier », les données bancaires. GozNym est capable de chiffrer son code afin d’être totalement transparent face aux outils de cybersécurité.

La bande GozNym

Il commercialisait ce programme malveillant sur plusieurs espaces. Un outil clé en main avec de multiples options comme le serveur qui va spammer le lien qui permet de télécharger la charge pirate ; le serveur de stockage ; le SAV ; les mises à jour ; les mules pour blanchir l’argent volé … Selon les autorités, plusieurs centaines de clients pour ce petit business Cybercrime-as-a-Service qui aurait fait plus de 41 000 victimes et 90 millions d’euros de préjudice.

Les têtes pensantes du groupe ont été arrêtées : NoNe/none_1, un Géorgien de 35 ans vivant à Tbilissi.

Son lieutenant, « phantom », un Kazakhe de 31 ans. Un spécialiste du chiffrement, «JekaProf» ; «procryptgroup, 32 ans, apréhendé en Moldavie, à Balti.

Le responsable du serveur (« Hennadiy Kapkanov », « flux », « ffhost », « firestarter », « User 41 ») arrêté en Ukraine, à Poltava. Il stockait et faisait de manière à ce que GozNym soit toujours actif.

Sur ses serveurs, des services fournis à plus de 200 cybercriminels. Il hébergeait plus de 20 campagnes de programmes malveillants, dont GozNym. Un pirate qui avait tiré, au fusil d’assaut, sur les autorités, en 2016, lors de son arrestation (AVALANCHE NETWORK).

Dix autres pirates sont visés par les Etats-Unis ; deux en Allemagne ; le responsable des « spams » a été arrêté à Moscou. Les « commerciaux », ils géraient les comptes « clients » étaient basés à Varna en Bulgarie et Kazan, en Russie.

Pour le blanchiment, trois responsables à Stavropol et Volograd (Russie) et à Nikolaev (Ukraine). Ce dernier, «al666», âgé de 46 ans.

Il fournissait aux autres membres l’accès à des comptes bancaires qu’il contrôlait. Conçus pour recevoir les fonds.

Exemple de vente, dans le black market, de comptes en banque infiltrés. Mission : ne pas voler l’argent mais l’utiliser pour orchestrer des transferts.

Plaintes américaines : casino, association pour personnes handicapée et une église

Jeudi 16 mai 2019, le bureau du procureur américain du district ouest de Pennsylvanie a dévoilé l’acte d’accusation rendu par un grand jury fédéral de Pittsburgh. Une action tenue secrete de part son ampleur et la localisation géographique des pirates.

Le DoJ accuse 10 membres de ce réseau.

Les chefs d’accusations : fraude informatique, fraude électronique et bancaire, blanchiment d’argent.

Un onzième membre déjà inculpé, il y a quelques mois.

Les victimes de ces crimes étaient principalement des entreprises américaines et leurs institutions financières. Beaucoup de victimes situées dans le district occidental de Pennsylvanie. Parmi les victimes : Un cabinet d’avocats (Washington, DC) ; une église située à Southlake (Texas) ; une association pour personnes handicapées ; un casino de Gulfport (Mississippi) ou encore un haras situé à Midway (Kentucky).

Cinq pirates sont toujours dans le collimateur de l’Oncle Sam. Mais l’extradition parait difficile ! Dans cette liste, Vladimir Gorin, alias «Voland», «mrv» et «riddler» d’Orenbourg. Ce Russe est un développeur de logiciels malveillants qui supervisait la création, le développement, la gestion et la location de logiciels malveillants GozNym, notamment à Alexander Konovolov.

Une action menée par le DoJ et Europol.

Au sujet de l'auteur

Damien Bancal (damienbancal.fr) est un expert internationalement reconnu en cybersécurité. Il a fondé le projet Zataz en 1989. ZATAZ.com est devenu une référence incontournable en matière d'information sur la sécurité informatique et les cybermenaces pour le grand public. Avec plus de 30 ans d'expérience, Damien Bancal s'est imposé comme une figure majeure dans ce domaine, contribuant à la sensibilisation et à la protection des internautes contre les cyberattaques. Sa carrière est marquée par une forte implication dans l'éducation à la cybersécurité, notamment à travers des conférences et des publications spécialisées. Il est l'auteur de plusieurs ouvrages (17) et articles (plusieurs centaines : 01net, Le Monde, France Info, Etc.) qui explorent les divers aspects du piratage informatique et de la protection des données. Il a remporté le prix spécial du livre du FIC/InCyber 2022. Finaliste 2023 du 1er CTF Social Engineering Nord Américain. Vainqueur du CTF Social Engineering 2024 du HackFest 2024 (Canada). Damien Bancal a également été largement reconnu par la presse internationale dont le New York Times, qui souligne non seulement son expertise mais aussi son parcours inspirant. Par exemple, un portrait de La Voix du Nord le décrit comme "Monsieur Cybersécurité", soulignant son influence et son rôle essentiel dans ce domaine. Enfin, il figure parmi les personnalités les plus influentes dans la cybersécurité, comme le souligne Le Big Data, et a été classé parmi les 500 personnalités tech les plus influentes en 2023 selon Tyto PR. Chroniqueur TV et Radio (France Info, M6, RTL, Medi1, Etc.) Volontaires de la réserve citoyenne - Gendarmerie Nationale et de l'Éducation Nationale. Médaillé de la DefNat (Marine Nationale) et de la MSV (Gendarmerie Nationale). Entrepreneur, il a lancé en 2022 la société veillezataz.com.