Een coalitie van wetshandhavingsinstanties, gecoördineerd door de Britse National Crime Agency (NCA), heeft geleid tot de arrestatie en uitlevering van een man met de dubbele nationaliteit van Wit-Rusland en Oekraïne. Hij wordt ervan verdacht banden te hebben met Russischtalige cybercriminele groeperingen.
Maksim Silnikau (ook bekend als Maksym Silnikov), 38, ging online door het leven als JP Morgan, xxx en lansky. Hij werd op 9 augustus 2024 uit Polen uitgeleverd aan de VS om zich te verantwoorden voor aanklachten in verband met internationale computerhacking en telefraude.
“JP Morgan en zijn medewerkers zijn elite-cybercriminelen die extreme operationele en online beveiliging hebben toegepast om detectie door de politie te voorkomen”, aldus de NCA in een verklaring.
Deze personen, aldus het agentschap, waren verantwoordelijk voor de ontwikkeling en distributie van ransomware-stammen zoals Reveton en Ransom Cartel, evenals exploitkits zoals Angler. Reveton, geïntroduceerd in 2011, is beschreven als het “eerste ransomware-as-a-service-bedrijfsmodel ooit.”
Slachtoffers van Reveton hebben berichten ontvangen die afkomstig leken te zijn van de politie. Hierin werden ze ervan beschuldigd kindermisbruikmateriaal en auteursrechtelijk beschermde programma’s te hebben gedownload. Ook werden ze bedreigd met hoge boetes om gevangenisstraf te voorkomen en toegang te krijgen tot hun vergrendelde apparaten.
De scam resulteerde in ongeveer $ 400.000 die maandelijks van slachtoffers werd afgeperst van 2012 tot 2014, waarbij Angler-infecties op het hoogtepunt goed waren voor een geschatte jaarlijkse omzet van ongeveer $ 34 miljoen. Er wordt aangenomen dat wel 100.000 apparaten het doelwit waren van de exploitkit.
Silnikau zou, samen met Volodymyr Kadariya en Andrei Tarasov, betrokken zijn geweest bij de distributie van Angler en bij het misbruiken van malvertisingtechnieken van oktober 2013 tot en met maart 2022. Deze zouden schadelijke en frauduleuze content verspreiden die bedoeld was om gebruikers ertoe te verleiden hun gevoelige persoonlijke gegevens te verstrekken.
De gestolen informatie, zoals bankgegevens en inloggegevens, en de toegang tot de gecompromitteerde apparaten, werden vervolgens te koop aangeboden op Russische cybercrimeforums op het dark web.
“Silnikau en zijn medeplichtigen zouden malware en verschillende online scams hebben gebruikt om miljoenen nietsvermoedende internetgebruikers in de Verenigde Staten en de rest van de wereld te targeten”, aldus FBI-adjunct-directeur Paul Abbate. “Ze verschuilden zich achter online aliassen en hielden zich bezig met complexe, verstrekkende cyberfraudeplannen om de apparaten van slachtoffers te compromitteren en gevoelige persoonlijke informatie te stelen.”
Volgens het Amerikaanse ministerie van Justitie (DoJ) zorgde de criminele opzet er niet alleen voor dat nietsvermoedende internetgebruikers miljoenen keren gedwongen werden omgeleid naar schadelijke content, maar werden ook diverse Amerikaanse bedrijven die betrokken waren bij de verkoop en distributie van legitieme online advertenties opgelicht en geprobeerd op te lichten.
Een van de bekendste methoden om malware te verspreiden was de Angler Exploit Kit. Deze maakte gebruik van kwetsbaarheden in webbrowsers en plug-ins om ‘scareware’-advertenties te tonen. Deze advertenties toonden waarschuwingsberichten waarin werd beweerd dat er een computervirus op de apparaten van slachtoffers was gevonden. Vervolgens werden de slachtoffers verleid om trojans voor externe toegang te downloaden of persoonlijke of financiële gegevens vrij te geven.
“Jarenlang hebben de samenzweerders reclamebedrijven misleid om hun malvertisingcampagnes uit te voeren door tientallen online persona’s en fictieve entiteiten te gebruiken die zich voordeden als legitieme reclamebedrijven”, aldus het Amerikaanse ministerie van Justitie.
“Ze ontwikkelden en gebruikten ook geavanceerde technologieën en computercodes om hun malvertisements, malware en computerinfrastructuur te verfijnen en zo de kwaadaardige aard van hun advertenties te verbergen.”
In een afzonderlijke aanklacht van het Eastern District of Virginia wordt Silnikau er ook van beschuldigd de maker en beheerder te zijn van de Ransom Cartel-ransomwarevariant die in mei 2021 van start ging.
“Silnikau zou bij verschillende gelegenheden informatie en hulpmiddelen hebben verspreid onder deelnemers aan het losgeldkartel, waaronder informatie over gecompromitteerde computers, zoals gestolen inloggegevens en hulpmiddelen die bijvoorbeeld zijn ontworpen om gecompromitteerde computers te versleutelen of ‘vergrendelen'”, aldus het Amerikaanse ministerie van Justitie.
“Silnikau zou ook een verborgen website hebben opgezet en onderhouden waar hij en zijn medeplichtigen ransomware-aanvallen konden monitoren en controleren; met elkaar konden communiceren; met slachtoffers konden communiceren, inclusief het verzenden en onderhandelen over betalingsverzoeken; en de verdeling van fondsen tussen medeplichtigen konden beheren.”
Silnikau, Kadariya en Tarasov zijn aangeklaagd voor samenzwering om telefraude te plegen, samenzwering om computerfraude te plegen en twee aanklachten van substantiële telefraude. Silnikau is verder aangeklaagd voor samenzwering om computerfraude en -misbruik te plegen, samenzwering om telefraude te plegen, samenzwering om fraude met toegangsapparaten te plegen en twee aanklachten van telefraude en verergerde identiteitsdiefstal.
Als hij op alle punten schuldig wordt bevonden, riskeert hij meer dan 50 jaar gevangenisstraf. Vóór zijn uitlevering werd hij in juli 2023 gearresteerd in een appartement in Estepona, Spanje, als onderdeel van een gecoördineerde inspanning tussen Spanje, het VK en de VS.
“Hun impact gaat veel verder dan de aanvallen die ze zelf lanceerden,” zei NCA Deputy Director Paul Foster. “Ze waren in feite de pioniers van zowel de exploit kit als de ransomware-as-a-service modellen, die het voor mensen makkelijker hebben gemaakt om betrokken te raken bij cybercriminaliteit en die overtreders blijven helpen.”
“Dit zijn zeer geavanceerde cybercriminelen die er jarenlang in zijn geslaagd hun activiteiten en identiteit te verbergen.”
