Un ancien professionnel néerlandais de la cybersécurité a été condamné à quatre ans de prison après avoir été reconnu coupable de piratage et de chantage contre plus d’une douzaine d’entreprises aux Pays-Bas et dans le monde.

Le suspect, un homme de 21 ans de Zandvoort nommé Pepijn Van der Stap, a été reconnu coupable de plusieurs chefs d’accusation, notamment de piratage des ordinateurs des victimes, d’extorsion et de blanchiment d’au moins 2,5 millions d’euros en cryptomonnaie.

Le tribunal l’a condamné à quatre ans de prison, dont un an conditionnel, accompagné d’une période probatoire de trois ans. Le verdict fait suite à une enquête approfondie menée par le ministère public néerlandais, qui a requis une peine de six ans de prison.

Van der Stap et ses complices ont été impliqués dans une série de cybercrimes visant des entreprises et des institutions nationales et internationales entre août 2020 et janvier 2023, selon au ministère public néerlandais.

Le groupe a eu recours au chantage pour extorquer d’importantes sommes d’argent aux entreprises ciblées, menaçant de divulguer les données volées en ligne à moins qu’une rançon ne soit payée. De plus, Van der Stap a infiltré divers réseaux, volant des données sensibles d’entreprises et d’organisations compromises.

En fouillant son ordinateur, les forces de l’ordre ont découvert divers outils malveillants et des informations personnelles volées à des millions de personnes, acquises via un piratage, des achats ou des échanges avec d’autres cybercriminels, et mises en vente sur divers forums de piratage.

Le ministère public néerlandais a également révélé que Van der Stap avait aidé d’autres criminels en vendant ou en échangeant ces données sensibles volées, causant ainsi des millions de dommages aux organisations concernées.

L’enquête sur l’activité cybercriminelle de Van der Stap a débuté en mars 2021 à la suite d’un rapport d’une entreprise basée à Amsterdam. Malgré les procédures judiciaires en cours, toutes les organisations n’ont pas signalé avoir été ciblées ni l’ampleur de leurs pertes.

Whitehat le jour, cybercriminel la nuit

À un moment donné, Van der Stap a travaillé pour Hadrian Security et s’est porté volontaire au Dutch Institute for Vulnerability Disclosure (DIVD), comme l’a rapporté pour la première fois DataBreaches.net.

Il était également membre des RaidForums et BreachForums, aujourd’hui disparus, ainsi que d’autres forums de piratage comme Sinister.[.]ly, HackForums, Leakforums et Maza, utilisant plusieurs surnoms, dont Espeon, Umbreon, Lizardom, Egoshin, Togepi, OFTF et Rekt.

BreachForums (alias Breached) a été saisi en juin 2023, trois mois après l’arrestation de son propriétaire, Conor Fitzpatrick (alias Pompompurin).

RaidForums a été fermé en avril 2022 après que son fondateur et administrateur, Diogo Santos Coelho, ait été appréhendé dans le cadre d’une action coordonnée impliquant les forces de l’ordre de plusieurs pays.

Tous deux étaient considérés comme les plus grands forums de piratage avant leur saisie, avec des centaines de milliers d’utilisateurs les utilisant comme plateformes en ligne pour échanger et vendre des bases de données volées.

« La majorité de mes activités de piratage criminel ont eu lieu avant que je commence à exercer un travail légal. J’avais déjà commencé à réduire le piratage blackhat avant de commencer à travailler pour des entités whitehat. Une fois que j’ai commencé à travailler dans des emplois légitimes, j’ai vraiment commencé à consacrer mes compétences à l’éthique. « , a déclaré Van der Stap à DataBreaches.net dans une interview.

« Pendant environ 16 mois avant mon arrestation, je ne me livrais pas à beaucoup d’activités illégales et je voulais complètement m’en sortir. Mais même si je voulais sortir, cela me semblait parfois impossible. »