Source: CyberScoop (Matt Kapko, 7 novembre 2025). L’article détaille la plaidoirie de culpabilité d’Aleksei Olegovich Volkov, 25 ans, alias ‘chubaka.kor’, pour son rôle d’initial access broker (IAB) au sein du groupe de ransomware Yanluowang entre juillet 2021 et novembre 2022.
Volkov et des co-conspirateurs ont ciblé au moins sept entreprises américaines (dont une entreprise d’ingénierie et une banque). Les victimes ont subi du vol et chiffrement de données, des attaques DDoS et des appels téléphoniques de harcèlement visant à accroître la pression. Deux victimes ont payé au total 1,5 M$ de rançon, et le montant cumulé exigé auprès des sept victimes atteignait 24 M$. Certaines organisations ont dû interrompre temporairement leurs opérations. 💥
Selon les procureurs, Volkov identifiait des cibles, exploitait des vulnérabilités, puis revendait/partageait l’accès soit à forfait, soit contre un pourcentage de la rançon. Cisco, non cité dans les documents judiciaires de cette affaire, a indiqué avoir été impacté par une attaque attribuée à Yanluowang en mai 2022 et l’a liée à un IAB connecté à UNC2447, Lapsus$ et Yanluowang. 🔗
Le FBI a retracé des transactions en cryptomonnaies vers des comptes attribués à Volkov et à un co-conspirateur « CC-1 » (résidant à Indianapolis). L’analyse blockchain a permis de confirmer l’identité de Volkov et de révéler plusieurs comptes utilisés pour coordonner les attaques, les paiements et le partage des gains illicites. Volkov a été arrêté le 18 janvier 2024 à Rome, puis extradé vers les États-Unis et placé en détention dans l’Indiana. Il a plaidé coupable le 29 octobre à six chefs: transfert illégal d’un moyen d’identification, trafic d’informations d’accès, fraude aux dispositifs d’accès, usurpation d’identité aggravée, complot de fraude informatique et complot de blanchiment d’argent. Il risque jusqu’à 53 ans de prison et doit verser environ 9,2 M$ de restitution aux sept victimes; l’accord de plaidoyer ne fixe pas de peine convenue. ⚖️
IOC/Identifiants observables:
- Alias: ‘chubaka.kor’
- Nom: Aleksei/Aleskey Olegovich Volkov
- Groupes liés: Yanluowang (IAB), connexions mentionnées à UNC2447 et Lapsus$ (via Cisco)
TTPs notables:
- Courtage d’accès initial: identification de cibles, exploitation de vulnérabilités, vente/partage d’accès contre forfait ou part de rançon
- Double extorsion: vol + chiffrement de données, pression par harcèlement téléphonique et DDoS
- Monétisation: paiements en cryptomonnaies, partage des gains entre complices
- OPSEC/Communication: utilisation de multiples comptes pour coordonner attaques et paiements
- Attribution/Enquête: analyse blockchain par le FBI pour tracer fonds et confirmer identités 🔍
Type d’article: article de presse spécialisé relatant une opération de police et une procédure judiciaire liée à des attaques par ransomware.
🔗 Source originale : https://cyberscoop.com/russian-aleksei-volkov-yanluowang-ransomware/