Source: BBC (BBC World Service). Dans une interview exclusive en prison menée par Joe Tidy 🎙️, Vyacheslav “Tank” Penchukov, ex-membre clé de la cyber-escène, raconte son parcours de la bande Jabber Zeus à IcedID et à l’écosystème du ransomware, livrant des détails sur les gangs, leurs méthodes et des acteurs encore en cavale, dont l’énigmatique tête présumée d’Evil Corp.
Dans les années 2000, Penchukov dirige la redoutée équipe Jabber Zeus, combinant le malware bancaire Zeus et la messagerie Jabber pour voler directement sur les comptes de PME, collectivités et associations. Au Royaume-Uni, plus de 600 victimes perdent plus de £4M en trois mois. Identifié après l’interception de chats, il échappe à l’opération Trident Breach de l’FBI en Ukraine, avant de tenter une reconversion (commerce de charbon) puis de replonger, évoquant pressions financières et contexte politique (Crimée).
De 2018 à 2022, il devient un affilié majeur de services de ransomware 🏴☠️ comme Maze, Egregor et Conti, évoquant des revenus d’environ 200 000 $/mois et une « mentalité de meute » après la rumeur d’un paiement de 20 M$ par un hôpital, qui aurait déclenché des assauts massifs contre le secteur médical 🏥. Il gravite au sommet d’IcedID, avec 150 000 machines compromises et une équipe chargée de décider la meilleure monétisation (dont le ransomware). Il cite des discussions de certains acteurs avec des « handlers » des services russes (ex. FSB). Les procureurs américains lui attribuent notamment l’attaque 2020 contre l’University of Vermont Medical Center (pertes de 30 M$, 5 000 ordinateurs inutilisables, risque pour les patients) — accusation qu’il conteste, affirmant avoir admis des faits pour réduire sa peine.
Arrêté en Suisse (2022) lors d’une opération musclée 🚔, il purge deux peines de 9 ans (concurrentes) au pénitencier d’Englewood (Colorado) et doit 54 M$ de restitution. Il évoque peu de remords envers les victimes, hormis un cas de charity pour enfants handicapés, et explique avoir coupé les ponts avec Maksim Yakubets (“Aqua”) après les sanctions de 2019. Le NCA britannique a depuis sanctionné 16 membres liés à Evil Corp, tandis qu’il estime faibles les chances d’arrestation pour ceux qui restent en Russie. Des victimes comme le commerce familial Lieber’s Luggage (perte de 12 000 $) témoignent de l’impact humain et financier durable.
TTPs clés observés/déclarés:
- Utilisation de malwares bancaires et botnets: Zeus, IcedID (infection massive, tri/évaluation de la monétisation)
- Communications et coordination: Jabber (chats interceptés), forums criminels et modèle d’affiliation
- Chaîne d’attaque orientée monétisation: vol bancaire direct, puis bascule vers le ransomware (exfiltration/ chiffrement, extorsion)
- Ciblage opportuniste: poussée vers les institutions médicales après rumeurs de gros paiements
- Possible collusion avec services de renseignement russes (mention de “handlers” FSB par certains membres)
IOCs: Aucun indicateur technique (hashs, domaines, IP) n’est communiqué dans l’article.
Il s’agit d’un article de presse généraliste fondé sur une interview exclusive, visant à éclairer de l’intérieur l’organisation, les méthodes et les réseaux du cybercrime contemporain.
🔗 Source originale : https://www.bbc.com/news/articles/cm2w0pvg4wko
🖴 Archive : https://web.archive.org/web/20251115154956/https://www.bbc.com/news/articles/cm2w0pvg4wko