Een Russische burger is veroordeeld tot twee jaar gevangenisstraf nadat hij had bekend dat het phishing-botnet dat hij beheerde werd ingezet voor BitPaymer ransomware-aanvallen op 72 Amerikaanse bedrijven. De 40-jarige Ilya Angelov, bekend onder de online aliassen "milan" en "okart", reisde naar de Verenigde Staten om schuld te bekennen en zich te verantwoorden, mede naar aanleiding van de Russische inval in Oekraïne in februari 2022 en de arrestatie van een medeverdachte in Zwitserland.

Angelov was een van de twee leiders van een Russische cybercriminele organisatie die door de FBI werd gevolgd onder de naam Mario Kart en door verschillende cybersecuritybedrijven bekendstaat als TA551, Shathak, GOLD CABIN, Monster Libra, ATK236 en G0127. Samen met zijn mede-beheerder rekruteerde hij leden en hield toezicht op de kwaadaardige activiteiten van de groep. De leden vervulden diverse rollen, waaronder het ontwikkelen van malware, het verspreiden van spam en het aanpassen van malware om detectie door beveiligingssoftware te voorkomen.

De groep voerde grootschalige spamcampagnes uit, waarbij dagelijks tot 700.000 e-mails werden verstuurd. Ontvangers die een bijlage openden, raakten geïnfecteerd met malware die hun systemen toevoegde aan het Mario Kart-botnet. Op het hoogtepunt van de operatie konden dagelijks ongeveer 3.000 computers geïnfecteerd worden. Het botnet werd gebruikt om malware te verspreiden in phishingcampagnes tussen 2017 en 2021. Vervolgens werd toegang tot geïnfecteerde apparaten verkocht aan andere cybercriminelen, waaronder affiliates die ransomware-aanvallen uitvoerden via Ransomware-as-a-Service (RaaS).

Volgens het Amerikaanse ministerie van Justitie werden meer dan 70 Amerikaanse bedrijven geïnfecteerd met ransomware door een organisatie die aan Angelovs groep gelinkt is, wat leidde tot meer dan 14 miljoen dollar aan afpersingsbetalingen. De aanvallen vonden plaats tussen augustus 2018 en december 2019 en waren verbonden aan de BitPaymer ransomware-operatie. Daarnaast ontving Angelov tussen eind 2019 en augustus 2021 ongeveer een miljoen dollar van de IcedID-groep voor toegang tot hun botnet, hoewel de schade hiervan nog niet volledig bekend is.

TA551 is in het verleden ook gelinkt aan andere malware-operators en ransomware-affiliates. Zo werkte de groep samen met de beruchte TrickBot-groep in phishingcampagnes die Conti ransomware verspreidden. Ook het Franse Computer Emergency Response Team (CERT) noemde TA551 als partner in de Lockean ransomware-operatie, waarbij affiliates ransomware zoals ProLock, Egregor en DoppelPaymer op systemen met de Qbot/QakBot banking trojan installeerden.

Daarnaast werd deze week de 26-jarige Rus Aleksey Olegovich Volkov veroordeeld tot bijna zeven jaar gevangenisstraf na zijn bekentenis als initial access broker voor Yanluowang ransomware-aanvallen.