Un hacker malveillant roumain a été condamné à trois ans de prison fédérale aux États-Unis pour avoir dirigé l’infrastructure derrière plusieurs souches de logiciels malveillants.
Mihai Ionut Paunescu, âgé de 39 ans, était un acteur clé d du site PowerHost[.]ro, un service d’hébergement pas comme les autres. La spécialité de Power Host, permettre de stocker et déployer des codes malveillants. Un bulletproof hosting ! Parmi les codes pirates diffusés par ce biaias, le virus Gozi, le cheval de Troie Zeus, le trojan SpyEye et le logiciel malveillant BlackEnergy.
Paunescu louait des serveurs et des adresses IP auprès de fournisseurs internet légitimes. Puis, via son « bulletproof hosting« , il mettait ces outils à la disposition des cybercriminels, leur permettant de rester anonymes et de lancer des attaques. En plus de ces activités, Paunescu a été accusé d’avoir permis des attaques par déni de service distribué (DDoS) et des campagnes de spam. Les serveurs de son bulletproof hosting offrant la possibilité à d’autres pirates d’installer leurs script DDoS ou encore de phishing. Selon le procureur américain Damian Williams, « Paunescu permettait aux cybercriminels d’acquérir une infrastructure en ligne pour leurs activités illégales sans révéler leur véritable identité« .
Paunescu, surnommé « Virus », a été arrêté en juin 2021 à l’aéroport international El Dorado de Bogota, en Colombie, après avoir été initialement arrêté en décembre 2012 à Bucarest, en Roumanie. Les autorités américaines l’avaient inculpé en janvier 2013 pour son rôle dans la distribution du logiciel malveillant Gozi, qui était essentiel pour le vol de données bancaires électroniques par des cybercriminels, mais elles n’avaient pas réussi à obtenir son extradition de la Roumanie.
Le Gozi malware a infecté plus de 40 000 ordinateurs aux États-Unis, y compris ceux de la National Aeronautics and Space Administration (NASA) ainsi que d’autres en Europe. Les responsables américains ont déclaré que ce logiciel malveillant avait permis aux pirates de voler des dizaines de millions de dollars à des particuliers, des entreprises et des entités gouvernementales en raison de sa capacité à échapper aux logiciels antivirus.
Bien qu’il ait été impossible d’extrader Paunescu de Roumanie après son arrestation en 2012, les procureurs américains l’ont surveillé jusqu’à son arrestation en Colombie. Initialement passible de 65 ans de prison, il a plaidé coupable de chefs d’accusation moins graves le 24 février. Paunescu a déjà passé 14 mois de sa vie en détention en Roumanie et en Colombie avant d’être extradé aux États-Unis.
Lors de son procès, la juge de district américaine Lorna G. Schofield a déclaré que Paunescu avait facilité la diffusion de « certains des logiciels malveillants les plus virulent de l’époque » et qu’il en avait tiré « beaucoup d’argent » : parmi ces logiciels on retrouve Zeus ou encore SpyEye ». Les deux autres responsables du Gozi sont Nikita Kuzmin, un Russe arrêté en Californie en 2013 et libéré en 2016, et Deniss Calovskis, arrêté en Lettonie mais jamais extradé.
Le code source du logiciel malveillant a été diffusé en ligne en 2013. Il a servi de base à plusieurs souches utilisées pour attaquer les clients de banques.
Gozi, gozi !
Le code malveillant Gozi, également connu sous le nom de Gozi Virus, est un logiciel malveillant largement utilisé par des cybercriminels pour voler des informations financières et commettre des fraudes en ligne. Il a été actif entre 2007 et 2013 et a causé des dommages considérables à de nombreux utilisateurs d’Internet, notamment aux États-Unis et en Europe.
Gozi est un cheval de Troie bancaire, ce qui signifie qu’il est spécifiquement conçu pour cibler les informations financières des utilisateurs, telles que les identifiants de connexion, les numéros de carte de crédit et les mots de passe liés aux services bancaires en ligne. Le logiciel malveillant a été conçu pour infecter discrètement les ordinateurs des victimes et de permettre de siphonner les fonds des comptes bancaires des victimes. Une des caractéristiques principales de Gozi aura été sa capacité à éviter la détection par les logiciels antivirus. Il utilisait des techniques sophistiquées pour se dissimuler et modifier régulièrement son code afin d’éviter d’être détecté par les outils de sécurité informatique.
Le code source de Gozi a été divulgué en ligne en 2013, ce qui a permis à d’autres cybercriminels de l’utiliser comme base pour développer de nouvelles souches de logiciels malveillants. Depuis lors, différentes variantes du code Gozi ont été détectées, chacune avec des fonctionnalités légèrement différentes, mais toutes dans le même but : voler des informations financières sensibles.
Nymaim est une variante de Gozi qui a été découverte pour la première fois en 2013. Il est principalement utilisé pour diffuser d’autres logiciels malveillants, tels que des ransomwares et des chevaux de Troie bancaires. Également connu sous le nom de Gozi-ISFB, Ursnif est une autre variante de Gozi (2014). Il est spécialisé dans le vol d’informations bancaires et est souvent distribué via des campagnes de phishing et des spams. L’Interactive Service For Banking (ISFB) est une autre variante de Gozi (2012) aprés un retro ingeenering de la concurence. Il est utilisé pour infecter les navigateurs web des utilisateurs et voler des informations de connexion aux services bancaires en ligne une fois que l’internaute se connecte à son site bancaire. GozNym est une combinaison du code Gozi et du code Nymaim. Cette variante a été découverte en 2016.