Nikita Kuzmin, le créateur du premier malware-as-a-service, doit verser près de 7 millions de dollars
Nikita Kuzmin, le créateur du premier malware-as-a-service, doit verser près de 7 millions de dollars
pour avoir volé des données bancaires
Nikita Kuzmin, un Russe de 28 ans qui a été appréhendé en 2010 aux États-Unis, a été condamné par le tribunal fédéral de Manhattan à une peine de 37 mois d’emprisonnement (trois ans) après avoir été reconnu comme étant à l’origine du logiciel malveillant Gozi en 2011. Ce dernier a été utilisé pour voler de l’argent dans des banques aux États-Unis, mais aussi en Europe (Allemagne, France, Pologne, Grande-Bretagne, Italie, Turquie, Finlande, etc.). La justice américaine a estimé à plus d’un million le nombre d’ordinateurs infectés et compte le nombre de dommages causés en dizaines de millions de dollars.
L’histoire a commencé en 2007 lorsque des experts ont identifié pour la première fois un logiciel malveillant qui volait des informations bancaires de nombreux utilisateurs. Kuzmin utilise le pseudonyme “76” pour proposer son logiciel malveillant dans le dark web, un logiciel qui est quelque peu innovant dans la mesure où il est le premier à proposer une offre MaaS (Malware-as-a-service).
Pour un prix de 500 dollars par semaine, Kuzmin louait les exécutables de Gozi à d’autres cyber criminels. Il a conçu Gozi pour qu’il puisse effectuer des injections web personnalisées afin que les cyber criminels puissent cibler au mieux les victimes.
Entre autres vecteurs d’infection, les victimes reçoivent un fichier PDF conçu pour paraître pertinent pour la victime. Une fois ouvert, cela déclenche un téléchargement silencieux de Gozi sur la machine de la victime. Gozi va alors collecter les données bancaires présentes sur l’ordinateur de la victime, même ses identifiants (nom d’utilisateur et mot de passe) pour avoir accès à la banque en ligne de la victime. Les données seront alors transmises aux serveurs utilisés par Gozi. Tant que les cyber criminels avaient payés leurs frais hebdomadaires de location de Gozi, Kuzmin leur donnait accès aux données subtilisées et ils pouvaient alors s’en servir pour effectuer des transferts d’argent sur d’autres comptes. Sur la seule activité de la location du logiciel malveillant, les experts en sécurité ont estimé à au moins un quart de million de dollars la somme engrangée par Kuzmin.
Les experts en sécurité ont pu identifier un serveur qui contenait 10 000 enregistrements de comptes subtilisés par Gozi depuis plus de 5200 ordinateurs personnels. Les enregistrements contenaient des identifiants de plus de 300 entreprises, parmi lesquelles de grandes enseignes dans le domaine des banques ainsi que des entreprises proposant des services financiers.
En plus de sa peine, Kuzmin est sommé de payer la somme de 6 934 979 en guise de restitution pour son forfait.
Il s’agit là de la troisième condamnation liée à ce projet. Le 5 janvier 2016, Deniss Calovskis, un ressortissant letton aussi connu sous le pseudonyme “Miami” qui a écrit certaines lignes de code pour des injections web qui permettaient à Gozi de cibler des informations de certaines banques en particulier, a été condamné à une détention de 21 mois (presque deux ans) pour sa participation dans cette affaire.
Mihai Ionut Paunescu, un ressortissant roumain aussi connu sous le nom “Virus” qui a confié avoir développé un « service d’hébergement bulletproof » qui permettaient à des cyber criminels de proposer des MaaS comme Gozi, a été arrêté en Roumanie en décembre 2012 et attend actuellement son extradition vers les États-Unis.
Les peines de Nikita Kuzmin et Deniss Calovskis sont de type « time served ». Dans le droit pénal américain, cette expression désigne une peine où le défendeur, immédiatement après avoir été reconnu coupable, est crédité du temps passé en détention provisoire en l’attente de son jugement. Ce temps est en général soustrait de sa peine et seul le solde sert après le verdict. Par exemple, dans le verdict final de Jean-François X qui a passé 20 mois en détention pendant son procès, s’il est condamné à 25 mois de time served alors il ne lui reste plus qu’à purger 5 mois. Et s’il est condamné à 15 mois de time served cela signifie qu’il est libre.
Source : département de la justice, dictionnaire de la loi
Répondre avec citation
Partager