ChronoPay et sa société sœur Rouge & Partenaires (RNP) gagnaient des millions en mettant en place une infrastructure de paiement pour les faux antivirus et les spammeurs qui proxénètent des médicaments améliorant les performances masculines.
Utilisation de l’alias du pirate « Yeux rouges», le PDG de ChronoPay a supervisé un programme d’affiliation de spam en pharmacie en plein essor appelé Rx-Promotion, qui a payé certains des spammeurs et auteurs de virus les plus talentueux de Russie pour bombarder le monde avec des courriers indésirables faisant la promotion des magasins de pilules de Rx-Promotion. RedEye était également l’administrateur de Crutop, un forum en russe et un programme d’affiliation qui s’adressait à des milliers de webmasters adultes. En 2013, Vrublevsky a été condamné à 2,5 ans dans une colonie pénitentiaire russe pour avoir convaincu l’un de ses principaux affiliés de lancer une attaque par déni de service distribué (DDoS) contre un concurrent qui a fermé le système de billetterie de la société d’État.
Aéroflot Compagnie aérienne. Après sa sortie de prison, Vrublevsky a commencé à travailler sur une nouvelle plate-forme de paiement numérique basée à Hong Kong appelée HPPay Ltd (alias Hong Kong Processing Corporation). HPay semble avoir eu un grand nombre de clients qui exécutaient des programmes qui embobinaient les gens avec de fausses loteries et des concours de prix.
Selon les procureurs russes, l’arnaque s’est déroulée comme suit : les consommateurs recevaient un SMS contenant des liens vers des sites affirmant à tort qu’un certain nombre d’entreprises bien connues parrainaient des tirages au sort et des loteries pour les personnes qui s’inscrivaient ou acceptaient de répondre à des sondages. Tous ceux qui ont répondu ont été informés qu’ils étaient gagnants, mais aussi qu’ils devaient payer une commission pour récupérer le prix. Ce stratagème aurait volé 500 millions de roubles (~ 4,5 millions de dollars américains) à plus de 100 000 consommateurs.
Il existe peu de documents publics montrant un lien entre ChronoPay et HPay, mis à part le fait que le site Web de ce dernier – hpay[.]io – était à l’origine hébergé sur le même serveur (185.180.
196.74) avec une poignée d’autres domaines, y compris le site Web personnel de Vrublevsky RNP[.]avec.
Mais plus tôt ce mois-ci, KrebsOnSecurity a reçu une grande quantité d’informations qui ont été volées à ChronoPay récemment lorsque des pirates ont réussi à compromettre le fonctionnement de l’entreprise. Confluence serveur. Confluence est une plate-forme wiki d’entreprise basée sur le Web, et ChronoPay a utilisé son installation Confluence pour documenter avec des détails exquis comment il distribue de manière créative le risque associé au traitement à haut risque en acheminant les transactions via une myriade de sociétés écrans et de processeurs tiers.
Un extrait traduit par Google de l’installation piratée de ChronoPay Confluence. Cliquez pour agrandir. Incroyablement, Vrublevsky lui-même semble avoir utilisé le wiki Confluence de ChronoPay pour documenter ses plus de 20 ans d’histoire personnelle et professionnelle dans l’espace des paiements à haut risque, y compris les incursions les plus récentes de l’entreprise avec HPay.
Le dernier document de l’archive piratée est daté d’avril 2021. Ces entrées de journal, entrecoupées de tutoriels très techniques, sont toutes écrites en russe et à la troisième personne. Mais ce sont incontestablement les mots de Vrublevsky : Certaines des histoires élaborées dans le wiki étaient identiques aux théories que Vrublevsky lui-même m’a épousées tout au long de centaines d’heures d’entretiens téléphoniques.
De plus, dans certaines entrées, le narrateur passe de «il» à «je» lorsqu’il décrit les actions de Vrublevsky. Les mémoires / wiki de Vrublevsky invoquent les surnoms et les vrais noms de pirates russes qui ont travaillé avec la protection des fonctionnaires corrompus en Russie Service fédéral de sécurité (FSB), l’agence qui a succédé au KGB soviétique. Dans plusieurs entrées de journal, Vrublevsky écrit sur divers cybercriminels et responsables de l’application des lois russes impliqués dans le traitement des paiements par carte de crédit liés aux sites de jeux en ligne.
Il est interdit aux banques russes de traiter les paiements pour les jeux d’argent en ligne et, par conséquent, de nombreux sites de jeux en ligne destinés aux russophones ont choisi de traiter les paiements par carte de crédit via des institutions financières ukrainiennes. C’est selon Vladislav « BadB » Horohorine, le cybercriminel condamné qui a partagé les données de ChronoPay Confluence avec KrebsOnSecurity. En février 2017, Horohorin a été libéré après avoir purgé quatre ans dans une prison américaine pour son rôle dans le vol de plus de 9 millions de dollars de RBS Worldpay en 2009.
Horohorin a déclaré que Vrublevsky utilisait sa connaissance des réseaux de traitement de cartes pour extorquer des personnes de l’industrie du jeu en ligne qui pourraient enfreindre les lois russes. « La Russie a des réglementations strictes contre le traitement pour le secteur des jeux d’argent », a déclaré Horohorin. « Alors que les banques russes ne peuvent pas le faire, les ukrainiennes le peuvent, nous avons donc des banques ukrainiennes qui traitent les jeux de hasard et les casinos, que la plupart des joueurs russes utilisent.
Ce que fait Pavel, c’est qu’il fait chanter ces banques ukrainiennes en utilisant ses relations et ses connaissances. Certains paient, d’autres non. Mais certaines personnes ne sont pas très tolérantes à ce genre d’abus.
Originaire de Donetsk, en Ukraine, Horohorin a déclaré à KrebsOnSecurity qu’il avait piraté et partagé l’installation de ChronoPay Confluence parce que Vrublevsky avait menacé un membre de sa famille. Horohorin pense que Vrublevsky a secrètement exploité le «mauvaise banque» sur Telegram, qui attire l’attention sur les opérations de jeu en ligne qui enfreignent les réglementations Visa et MasterCard (infractions pouvant entraîner des centaines de milliers de dollars d’amendes pour le contrevenant). « Pavel a écrit scrupuleusement son journal pendant longtemps, et il y a beaucoup d’informations sur les gens qu’il connaît », a déclaré Horohorin à KrebsOnSecurity.
« Je crois comprendre qu’il a écrit ceci afin de faire chanter les gens plus tard. Il y a beaucoup de choses intéressantes, beaucoup de noms et beaucoup d’informations très intimes sur le marché russe du traitement des cartes, ainsi que sur les propres escapades de Pavel. Le serveur Confluence piraté de ChronoPay contient de nombreuses entrées de journal sur les principaux acteurs des industries russes du jeu et de la création de livres en ligne.
Parmi les frasques relatées dans les journaux intimes du fondateur de ChronoPay figurent de multiples histoires impliquant l’autoproclamé « King of Fraud ! » Alexandre « Nastra » Joukov, un ressortissant russe qui dirigeait un réseau de fraude publicitaire surnommé « Methbot » qui a volé 7 millions de dollars aux éditeurs via des robots conçus pour ressembler à des humains regardant des vidéos en ligne. Le journal explique que Joukov vivait avec un employé de ChronoPay et avait beaucoup d’interaction avec le département à haut risque de ChronoPay, à tel point que Joukov à un moment donné a donné à Vrublevsky une montre bijou de 100 000 $ en cadeau. Zukhov a été arrêté en Bulgarie en 2018 et extradé vers les États-Unis.
À la suite d’un procès devant jury à New York qui s’est terminé l’année dernière, Joukov a été condamné à 10 ans de prison. Selon le média russe Kommersant, Vrublevsky et sa société exploitaient «Paye infernale», un portail de paiement qui a travaillé avec Hydra, le plus grand marché russe du darknet pour les marchandises illicites, y compris le trafic de drogue, les logiciels malveillants et la contrefaçon de monnaie et de documents. Inferno Pay, une API de crypto-monnaie et de paiement prétendument exploitée par le PDG de ChronoPay.
« Les services d’Inferno Pay, dont la commission s’élevait à 30 % de la transaction, étaient activement utilisés par les casinos en ligne », a écrit Kommersant le 12 mars. Le drame entourant la dernière arrestation de Vrublevsky rappelle les événements qui ont conduit à son emprisonnement près d’un an. il y a dix ans, lorsque plusieurs années d’e-mails internes de ChronoPay ont été divulgués en ligne.
Kommersant a déclaré que les autorités russes avaient également fouillé le domicile de Dmitri Artimovichun ancien directeur de ChronoPay qui, avec son frère Igor était responsable de la gestion du botnet Festi, le même botnet spam qui a été utilisé pendant des années pour pomper les courriers indésirables faisant la promotion des sites Web affiliés à la pharmacie de Vrublevsky. Festi était également le botnet utilisé dans l’attaque DDoS qui a envoyé Vrubelvsky en prison pour deux ans en 2013. Artimovich dit qu’il s’est disputé avec Vrublevsky il y a environ cinq ans, et qu’il poursuit l’entreprise depuis.
Dans un message adressé à KrebsOnSecurity, Artimovich a déclaré que si Vrublevsky était impliqué dans de nombreuses activités louches, il doute que l’arrestation de Vrublevsky concerne vraiment des escroqueries au paiement par SMS, comme le prétend le gouvernement. « Je ne pense pas que ce soit une raison de son arrestation », a déclaré Artimovich. « Nos forces de l’ordre ne se soucient généralement pas de sites comme celui-ci.
Et je ne pense pas que Vrublevsky y ait gagné beaucoup d’argent. Je crois qu’il a irrité une personne de haut rang. Parce que l’échelle du boîtier est beaucoup plus grande qu’Aeroflot.
La police a perquisitionné 22 personnes. Saisie illégale d’argent, d’ordinateurs. Le marché du darknet d’Hydra.
Image : bitcoin.com.