Archives par mot-clé : justice américaine

Cybersécurité, Justice, Securite informatique, Social engineering, Stealer

Le botnet Mario Kart, plaque tournante du ransomware

À Detroit, la condamnation d’Illya Angelov éclaire un rouage discret du cybercrime, celui des vendeurs d’accès clandestins qui alimentent en silence l’économie mondiale du ransomware.

La condamnation d’Illya Angelov par un tribunal fédéral de Detroit met en lumière un pan moins visible, et pourtant central, de la criminalité numérique. Entre 2017 et 2021, ce ressortissant russe a dirigé un botnet surnommé « Mario Kart« , capable d’envoyer 700 000 courriels piégés par jour et d’infecter environ 3 000 machines quotidiennes. Le réseau revendait ensuite des accès dérobés à d’autres groupes criminels, surtout spécialisés dans le rançongiciel. Selon l’accusation, 72 entreprises réparties dans 31 États américains ont été touchées. L’affaire montre comment les opérateurs de botnets et les courtiers d’accès occupent une place stratégique dans la chaîne industrielle de l’extorsion numérique.

Un grossiste du piratage au service du ransomware

Le dossier jugé à Detroit décrit une mécanique criminelle rodée, industrielle et particulièrement rentable. Entre 2017 et 2021, Illya Angelov et son organisation, identifiée par le FBI sous le nom de « Mario Kart », ont exploité un réseau de machines compromises pour propager des pièces jointes piégées via des campagnes massives de courriels indésirables. Le volume donne la mesure de l’opération : environ 700 000 messages envoyés chaque jour à travers le monde, pour près de 3 000 nouvelles infections quotidiennes.

Derrière cette cadence, l’objectif n’était pas uniquement de contaminer. Le cœur du modèle économique reposait sur la revente. Angelov et son cogérant monétisaient les accès clandestins obtenus sur des ordinateurs compromis en les cédant à d’autres groupes criminels. Ces clients n’étaient pas de simples fraudeurs opportunistes. Ils intervenaient le plus souvent dans des campagnes de rançongiciel, verrouillant les systèmes d’information des victimes, chiffrant leurs données, puis réclamant une somme pour restaurer l’accès.

Cette architecture éclaire une réalité essentielle du cybercrime contemporain : tous les acteurs ne remplissent pas le même rôle. Certains conçoivent les outils, d’autres diffusent les logiciels malveillants, d’autres encore exploitent les brèches ouvertes pour lancer une extorsion. L’organisation Mario Kart occupait cette position charnière. Elle fonctionnait comme un fournisseur en gros pour des opérateurs de ransomware qui ne disposaient ni des infrastructures, ni des moyens techniques nécessaires pour compromettre eux-mêmes leurs cibles à grande échelle.

Les documents judiciaires décrivent aussi un niveau de sophistication notable. Le groupe comptait des développeurs capables de produire des programmes de spam et des malwares suffisamment élaborés pour déjouer les antivirus. Le logiciel malveillant Mario Kart intégrait en outre une faille de sécurité permettant l’installation d’un code malveillant sur les machines visées. Là encore, l’organisation ne se limitait pas à utiliser cet atout pour son propre compte. Elle revendait cette capacité à d’autres groupes de cybercriminels, qui s’en servaient ensuite pour déployer des rançongiciels, chiffrer les données des victimes et exiger un paiement.

L’affaire illustre ainsi une forme de spécialisation avancée. Angelov n’apparaît pas seulement comme un pirate isolé ou comme l’administrateur d’un réseau infecté. Il se situe à l’interface entre l’intrusion initiale et l’extorsion finale. Dans cette chaîne, celui qui fournit l’accès détient une valeur stratégique élevée. Il réduit les coûts, accélère les attaques et augmente la portée des opérations menées par d’autres.

Detroit frappe un maillon clé de l’économie criminelle

La sentence prononcée mardi à Detroit s’inscrit dans cette lecture plus large. En octobre, Angelov avait plaidé coupable à huis clos à un chef de complot en vue de commettre une fraude électronique. Le procureur avait requis 61 mois d’emprisonnement, soit une baisse marquée par rapport aux recommandations du barème, qui dépassaient 12 ans. Cette réduction a tenu compte de sa coopération volontaire ainsi que des conditions de sa reddition.

Le tribunal l’a également condamné à une amende de 100 000 $ (92 160 euros) et à verser 1,6 million $ (1 474 560 euros) de dommages et intérêts. Ce détail financier rappelle que la réponse judiciaire vise aussi l’assèchement économique du modèle criminel.

La trajectoire d’Angelov croise celle de son associé Viatcheslav Igorevitch Penchukov. Quatre ans plus tôt, celui-ci avait été arrêté en Suisse avant d’être extradé vers les États-Unis. Selon le dossier, Penchukov appartenait à un groupe qui avait négocié le versement d’un million de dollars à Angelov et à une autre personne pour obtenir l’accès au système Mario Kart, soit 1 million $ (921 600 euros) selon la même conversion indicative. Quelques jours après cette arrestation, Angelov a pris contact avec les autorités américaines et a ensuite négocié sa reddition. Au moment de ce déplacement, Penchukov vivait au Royaume-Uni, depuis lequel Washington aurait aussi pu solliciter son extradition.

Le dossier ne s’arrête pas à ces deux noms. Vitlalii Alexandrovich Balint, présenté comme un acteur essentiel du développement de Mario Kart, a été condamné cinq mois plus tôt par un tribunal fédéral de Detroit à 20 mois de prison. Son rôle était important, selon les éléments du dossier, tout en restant subordonné à celui d’Angelov. La hiérarchie interne du groupe, telle qu’elle apparaît dans les décisions judiciaires, renforce l’idée d’une organisation structurée, avec des fonctions techniques et des responsabilités différenciées.

Au-delà des peines individuelles, l’affaire Mario Kart s’inscrit dans une stratégie plus large du ministère américain de la Justice. L’enjeu n’est plus seulement de poursuivre les auteurs visibles des attaques au ransomware, ceux qui affichent les demandes de rançon et négocient avec les victimes. Il s’agit aussi de frapper en amont les opérateurs de botnets et les courtiers d’accès, autrement dit ceux qui fournissent les outils, les portes d’entrée et la logistique technique sans lesquels nombre d’attaques ne pourraient pas être lancées avec une telle efficacité.

Le calendrier judiciaire renforce cette démonstration. La veille de la sentence d’Angelov, un autre tribunal fédéral a condamné le courtier d’accès russe Aleksei Volkov à 81 mois de prison pour avoir fourni un accès réseau au groupe de ransomware Yanluowang à travers des dizaines d’organisations américaines. Mis bout à bout, ces dossiers dessinent une ligne claire : les autorités cherchent désormais à désorganiser l’écosystème criminel dans son ensemble, en ciblant ses prestataires, ses intermédiaires et ses fournisseurs techniques.

Cybersécurité, Justice

Des experts cyber condamnés pour rançongiciel

Deux spécialistes américains de cybersécurité ont écopé de quatre ans de prison pour avoir utilisé ALPHV BlackCat contre des victimes aux États-Unis.

L’affaire expose une faille sensible du renseignement cyber : des professionnels censés défendre les réseaux ont exploité leur expertise pour mener des extorsions. Deux spécialistes cyber condamnés à quatre ans d’emprisonnement chacun. Ils ont déployé le rançongiciel ALPHV BlackCat pendant 9 mois.

Des défenseurs devenus affiliés d’ALPHV BlackCat

Les cas ne sont pas rares, mais n’en reste pas pour autant étonnant. Souvenez-vous de cet ingénieur en informatique qui aprés avoir été remercié par la direction de l’hôpital pour qui il officiait avait décidé de lancer un ransomware ; de ce salarié d’une société de gestion des eaux usées qui va crier au piratage alors qu’il était fautif ; sans parler de cet internaute français, condamné à 5 ans d’interdiction de travailler dans la cybersécurité, dont un an ferme, pour s’être un peu trop, selon la justice, acoquiné avec des pirates informatiques, sans parler de ces employés qui vendent ou louent leurs accés privilégiés contre des euros/dollars.

La condamnation de Ryan Goldberg, originaire de Géorgie, et de Kevin Martin, venu du Texas, repose sur une accusation centrale : avoir conspiré pour entraver, retarder ou affecter le commerce par extorsion. Les documents judiciaires décrivent une mécanique connue des enquêteurs cyber, celle du ransomware-as-a-service. Dans ce modèle, les développeurs conçoivent le logiciel malveillant, l’actualisent et maintiennent l’infrastructure clandestine. Les affiliés, eux, choisissent les cibles, compromettent les réseaux et poussent les victimes à payer.

Entre avril et décembre 2023, Goldberg, Martin et Angelo Martino, installé en Floride, ont utilisé ALPHV BlackCat contre plusieurs organisations américaines. Leur accord prévoyait un partage simple : 20 % des rançons revenaient aux administrateurs de la plateforme, en échange de l’accès au logiciel et à l’outil d’extorsion. Les trois hommes conservaient les 80 % restants. Après un paiement d’environ 1,2 million $ (1,10 million d’euros) en Bitcoin, ils ont divisé leur part en trois, puis ont dissimulé l’origine des fonds par plusieurs procédés de blanchiment.

Le dossier est particulièrement sensible parce que les trois prévenus travaillaient dans la cybersécurité. Ils possédaient donc les compétences destinées à protéger les systèmes informatiques contre les intrusions, les fuites de données et les interruptions d’activité. Selon le ministère américain de la Justice, ils ont retourné ce savoir contre les entreprises qu’ils attaquaient.

Assistant Attorney General A. Tysen Duva a résumé cette rupture de confiance en soulignant que les prévenus avaient visé des sociétés fournissant notamment des services médicaux et d’ingénierie. Il a aussi rappelé que les attaquants avaient provoqué la fuite de données de patients issues d’un cabinet médical. Sa formule est directe : ces spécialistes auraient dû aider les entreprises et les particuliers, non employer leurs compétences pour nourrir leur avidité.

La justice fédérale décrit un préjudice à la fois technique, économique et humain. Les systèmes ont été verrouillés, des données sensibles ont été volées, puis utilisées comme moyen de pression. Pour les victimes, payer ne signifiait pas seulement récupérer un accès. Cela revenait aussi à tenter de limiter une exposition publique de fichiers confidentiels.

Une affaire de renseignement cyber et de traque internationale

Le procureur fédéral Jason A. Reding Quiñones, pour le district sud de Floride, a insisté sur l’abus de connaissances spécialisées. Selon lui, les condamnés n’ont pas protégé les victimes : ils les ont extorquées. Les quatre ans de prison prononcés contre Goldberg et Martin traduisent, d’après l’accusation, l’ampleur du dispositif et les conséquences pour les entreprises, leurs salariés et les personnes dont les informations privées ont été instrumentalisées.

L’enquête illustre aussi la dimension renseignement du combat contre les rançongiciels. Brett Leatherman, responsable adjoint de la division cyber du FBI, a rappelé que les criminels du ransomware peuvent opérer depuis n’importe quel territoire, y compris les États-Unis. Il a indiqué que Goldberg avait tenté de fuir à l’étranger pour échapper aux poursuites. Le FBI affirme l’avoir suivi à travers dix pays, avant qu’il ne soit rattrapé par la procédure.

Cette annonce s’inscrit dans la continuité de l’opération menée en décembre 2023 contre ALPHV BlackCat. À cette date, le ministère de la Justice avait annoncé une perturbation de l’infrastructure du groupe. Le FBI avait développé un outil de déchiffrement distribué à des bureaux de terrain et à des partenaires internationaux. Selon les autorités, cette capacité a aidé des centaines de victimes à restaurer leurs systèmes et leur a évité environ 99 millions $ (91,08 millions d’euros) de paiements de rançon. Plusieurs sites exploités par ALPHV BlackCat avaient aussi été saisis.

ALPHV BlackCat aurait ciblé plus de 1 000 victimes dans le monde. Le modèle économique reposait sur la spécialisation : des développeurs géraient l’outil criminel, tandis que les affiliés recherchaient des organisations rentables et vulnérables. Après paiement, la rançon était répartie selon les accords internes. Cette architecture complique les enquêtes, car elle sépare l’écriture du code, l’intrusion, la négociation et le blanchiment.

Le volet judiciaire n’est pas terminé. Goldberg et Martin ont chacun plaidé coupable en décembre 2025 pour conspiration visant à affecter le commerce par extorsion. Angelo Martino a plaidé coupable en avril 2026 du même chef. Les autorités l’accusent aussi d’avoir abusé d’un rôle de négociateur pour des victimes de ransomware. Il aurait transmis des informations confidentielles à des acteurs malveillants afin d’augmenter le montant des paiements. Une affaire qui rappelle un cas, en France. Sa peine doit être prononcée le 9 juillet.

L’enquête est conduite par le bureau du FBI à Miami, avec l’appui du Secret Service. Le dossier est poursuivi par la Computer Crime and Intellectual Property Section du ministère de la Justice et par le bureau du procureur fédéral du district sud de Floride. Depuis 2020, cette section affirme avoir obtenu la condamnation de plus de 180 cybercriminels et des décisions judiciaires permettant le retour de plus de 322 millions d’euros aux victimes.

Cette affaire rappelle une réalité stratégique : dans le cyberespace, la confiance accordée aux experts devient elle-même une surface d’attaque.