Huit ans après l’ouverture par les forces de l’ordre américaines d’une première affaire concernant les activités du gang de malwares Mariposa (qui compte à son actif des malwares comme Butterfly Bot), les autorités américaines continuent leur instruction avec de nouvelles accusations et des mandats d’arrêt contre quatre suspects.

 

L’affaire initiale a commencé en mai 2011, lorsque les autorités américaines ont déposé une plainte contre trois pirates informatiques européens. L’enquête sur les opérations de ce groupe a mis au jour un empire de la cybercriminalité et a finalement abouti au démantèlement du fameux forum de piratage Darkode, un lieu de rencontre célèbre pour les pirates haut de gamme.

La semaine dernière, des responsables américains ont dévoilé de nouveaux documents dans le cadre de cette enquête, y compris des accusations contre un quatrième pirate informatique basé aux États-Unis. Selon de nouveaux documents judiciaires obtenus par ZDNet, les quatre suspects dans cette affaire étaient chargées de créer et d’exécuter le malware Mariposa (appelé Butterfly Bot ou BFBOT dans les documents judiciaires ; « mariposa » signifiant « papillon » en espagnol).

Plus précisément, les responsables américains affirment que le cerveau suspecté du gang,  un slovène connu sous le pseudonyme d’Iserdo a créé le logiciel malveillant, puis s’est associé à d’autres individus pour l’annoncer sur Darkode, un forum de piratage qu’il a aidé à créer et gérer. Les responsables américains affirment que les trois suspects ont mis le malware en vente sur Darkode au tarif de 350 euros à partir de 2008. Selon son annonce, le logiciel malveillant pourrait se propager à d’autres ordinateurs une fois qu’il a infecté une victime, pourrait voler les identifiants bancaires et pourrait mener des attaques DDOS.

En compagnie d’un dernier suspect, le groupe a non seulement vendu des copies du bot Mariposa, mais a aussi activement infecté des victimes et vendu l’accès aux hôtes infectés dans des systèmes de « paiement à l’installation » qui permettent à d’autres cybercriminels d’installer des logiciels malveillants supplémentaires sur ces systèmes, tels que des logiciels de rançon ou des trojans bancaires.

Démantèlement de Mariposa et Darkode

En l’espace de deux ans seulement, Mariposa est devenu l’un des plus grands réseaux de malwares existants, infectant plus d’un million d’ordinateurs. Le botnet s’est trop développé pour être ignoré, et était plus agressif que la plupart des autres, à cause de ses caractéristiques d’autopropagation. La police espagnole, en collaboration avec le FBI, a fermé le botnet Mariposa en 2010. Le démantèlement a été coordonné avec les arrestations, les autorités espagnoles arrêtant trois membres du groupe, tandis que la police slovène arrêtait son cerveau et sa petite amie.

Ce dernier a été condamné à quatre ans et dix mois de prison en décembre 2013 et a été libéré de prison par les autorités slovènes l’année dernière. Cependant, le travail d’enquête sur les opérations de Mariposa a également dirigé les autorités vers le site où celui-ci était commercialisé, à savoir le forum de piratage de Darkode.

Même à ce jour, ce forum conserve sa réputation d’être l’un des centre névralgique de piratage les plus notoires du web. Le forum ne comptait pas plus de 300 utilisateurs, mais tous étaient des hackers haut de gamme, tels que le créateur du malware Dendroid, le créateur du malware GovRAT (également connu sous le nom de BestBuy ou Popopret), l’auteur du malware SpyEYE, les membres de Lizard Squad, et divers groupes de spammer. Au cours de l’été 2015, le FBI, Europol et les services de police du monde entier ont fermé la deuxième création du cerveau de Mariposa – le forum Darkode – et procédé à plus de 70 arrestations.

Les raisons pour lesquelles les responsables américains ont maintenu les charges contre les membres du gang Mariposa jusqu’en 2019 ne sont pas claires. Il se peut qu’ils aient voulu attendre que le chef du gang purge sa peine de prison en Slovénie. Il se peut aussi qu’ils aient voulu incorporer les données de la saisie de Darkode dans leur cas, ce qui semble être le cas. Les nouveaux documents judiciaires regorgent de citations de messages privés que les quatre avaient échangés sur le forum Darkode, non inclus dans la plainte initiale de 2011.

Source : « Eight years later, the case against the Mariposa malware gang moves forward in the US »

Source Article from https://www.zdnet.fr/actualites/huit-ans-apres-l-affaire-contre-le-gang-de-malwares-mariposa-progresse-39885755.htm#xtor=RSS-1
Source:ZDNet News