Фишинг ботнет като входна точка за BitPaymer атаки
Руският гражданин Иля Ангелов е осъден на две години затвор, след като признава, че управляваният от него фишинг ботнет е бил използван за разпространение на BitPaymer срещу десетки компании в САЩ. Според съдебните документи, атаките са засегнали най-малко 72 организации и са довели до плащания на откуп на стойност над 14 милиона долара.
Решението на Ангелов да се яви пред американските власти идва след началото на Руската инвазия в Украйна през 2022 г. и ареста в Швейцария на негов сътрудник – Вячеслав Игоревич Пенчуков, свързан с групата IcedID.
Организирана киберпрестъпна инфраструктура
Ангелов е един от лидерите на киберпрестъпна група, известна като Mario Kart, а в индустрията – под различни наименования като TA551, Shathak и други. Тази структура функционира като добре организирана престъпна екосистема с ясно разпределени роли.
Членовете на групата включват разработчици на зловреден софтуер, оператори на спам кампании и специалисти по избягване на защитни механизми. Това ниво на организация позволява провеждането на мащабни и устойчиви атаки в продължение на години.
Масови фишинг кампании и изграждане на ботнет
В периода 2017–2021 г. групата изгражда мащабен ботнет чрез агресивни фишинг кампании. Според прокурорите, инфраструктурата е била способна да изпраща до 700 000 имейла дневно, като заразява приблизително 3 000 устройства на ден в пиковите периоди.
Заразяването се осъществява чрез прикачени файлове, които съдържат скрит зловреден код. При отваряне от страна на жертвата, системата се компрометира и се включва в ботнета, който впоследствие се използва за допълнителни атаки или се продава като услуга.
Моделът „достъп като услуга“ и връзката с ransomware екосистемата
Един от ключовите аспекти на операцията е търговията с достъп до компрометирани системи. Групата на Ангелов продава този достъп на други киберпрестъпници, включително участници в модели тип Ransomware-as-a-Service (RaaS).
Тези партньори използват вече компрометираните мрежи за внедряване на ransomware, като блокират достъпа до системите и изискват откуп, често в криптовалута. Именно по този начин ботнетът е използван за атаки с BitPaymer, довели до значителни финансови щети.
Допълнително, групата е получавала плащания от оператори на IcedID за предоставяне на достъп до заразени устройства, което показва тясна интеграция между различни киберпрестъпни мрежи.
Връзки с други известни заплахи
Анализите свързват TA551 с редица други кампании и зловредни операции. Сред тях са сътрудничества с групи като Wizard Spider, известни с използването на Conti.
Френският CERT също идентифицира групата като участник в операции, свързани с разпространение на ransomware семейства като ProLock, Egregor и DoppelPaymer, често чрез първоначално заразяване с банковия троян QakBot.
Допълнителни присъди и разширяване на разследванията
Паралелно със случая на Ангелов, друг руски гражданин – Алексей Олегович Волков – е осъден на близо седем години затвор за ролята си на initial access broker в атаки с ransomware Yanluowang. Това подчертава значението на посредниците, които осигуряват първоначален достъп до корпоративни мрежи.
