Über eine groß angelegte Spam-Kampagne verbreitete die Gruppe ihre Schadsoftware weltweit. Nach Angaben der Anklage konnten dabei bis zu 700.000 E-Mails pro Tag versendet werden. Öffnete ein ahnungsloser Empfänger einen Anhang aus einer dieser Nachrichten, infizierte versteckte Malware den Rechner und gliederte ihn in das Mario-Kart-Botnet ein. Auf dem Höhepunkt der Operation konnten den Ermittlern zufolge täglich rund 3.000 Computer infiziert werden.
Zwischen 2017 und 2021 nutzte die Bande dieses Botnet, um Schadsoftware in großflächigen Phishing-Kampagnen zu verteilen, und verkaufte anschließend Zugänge zu den infizierten Geräten an andere Cyberkriminelle weiter, darunter Beteiligte an Ransomware-as-a-Service-Operationen (RaaS).
“Dieser Zugang wurde an andere kriminelle Gruppen verkauft, die typischerweise Ransomware-Erpressungen betrieben: Sie sperrten Opfer aus ihren Computernetzwerken aus und forderten Lösegeld – meist in Kryptowährung – für die Wiederherstellung des Zugangs”, erklärte das US-Justizministerium. Die Behörde teilte mit, das FBI habe mehr als 70 US-Unternehmen identifiziert, die von einer mit Angelovs Gruppe verbundenen Organisation mit Ransomware infiziert wurden, was zu Erpressungszahlungen von über 14 Millionen US-Dollar führte.
Diese Angriffe ereigneten sich zwischen August 2018 und Dezember 2019 und wurden sämtlich der BitPaymer-Ransomware-Operation zugeordnet. Zusätzlich zahlte die IcedID-Bande zwischen Ende 2019 und August 2021 eine weitere Million US-Dollar an Angelov und seine Komplizen für den Zugang zu ihren Bots; der daraus entstandene Schaden ist bislang nicht bekannt.
TA551 wurde in der Vergangenheit mit verschiedenen Malware-Betreibern und einigen Ransomware-Partnern in Verbindung gebracht. Die Betreiber kooperierten zudem mit der TrickBot-Bande (Wizard Spider) in Phishing-Kampagnen, die Conti-Ransomware auf kompromittierten Systemen ausspielten. Auch das französische Computer Emergency Response Team (CERT) führte TA551 als Mitwirkenden an der Lockean-Operation, bei der Partner die Ransomware-Varianten ProLock, Egregor und DoppelPaymer auf Geräten ausbrachten, die zuvor mit dem Banking-Trojaner Qbot/QakBot infiziert worden waren.
In derselben Woche wurde der 26-jährige russische Staatsbürger Aleksey Olegovich Volkov zu knapp sieben Jahren Haft verurteilt, nachdem er sich schuldig bekannt hatte, als Initial Access Broker (IAB) für Yanluowang-Ransomware-Angriffe gehandelt zu haben.
