Ianis Aleksandrovich Antropenko, a Russian national living in the United States, has pleaded guilty to leading a ransomware conspiracy that targeted dozens of victims over a four-year period, causing at least $1.5 million in losses.

Antropenko gestand die Verschwörung zur Geldwäsche sowie die Verschwörung zum Computerbetrug und -missbrauch. Ihm drohen bis zu 25 Jahre Haft und Geldstrafen in Höhe von bis zu 750.000 US-Dollar. Zudem wurde ihm die Zahlung von Wiedergutmachung und die Einziehung von Vermögenswerten auferlegt.

According to court records, Antropenko engaged in ransomware attacks before moving to the United States and continued his activities while living in Florida and California. Despite the serious charges, he was granted bail at the time of his arrest in 2024. His sentencing date has not yet been scheduled.

Federal investigators traced Antropenko’s activities through accounts linked to Proton Mail, PayPal, Bank of America, Binance, and Apple. Authorities also identified his ex-wife, Valeriia Bednarchik, as an alleged co-conspirator involved in laundering ransomware proceeds, although she has yet to be charged.

Antropenko used multiple ransomware variants, including Zeppelin and GlobeImposter, and admitted to working with several co-conspirators, some of whom were based outside the United States. In August 2025, the US authorities seized more than $2.8 million in cryptocurrency linked to Antropenko.

Google disrupts the IPIDEA proxy network

Google, in collaboration with industry partners, has disrupted what it describes as one of the largest residential proxy networks in the world, known as ‘IPIDEA.’ The company said it took legal action to take down domains used to control compromised devices and route proxy traffic through them.

Residential proxy networks sell access to IP addresses assigned by internet service providers (ISPs) to real residential and small business customers. While some are marketed as legitimate services, such networks are frequently abused by cybercriminals. By routing traffic through thousands of consumer devices worldwide, attackers can hide the origin of malicious activity and evade detection.

Laut Google ist IPIDEA dafür berüchtigt, groß angelegte Botnetz-Operationen zu ermöglichen. Seine Software Development Kits wurden genutzt, um Geräte zu infizieren und in Botnetze einzubinden, während seine Proxy-Infrastruktur es Threat Actors ermöglichte, diese zu verwalten und zu monetarisieren. IPIDEA wurde mit mehreren Botnetzen in Verbindung gebracht, darunter BadBox 2.0 sowie die neueren Botnetze Aisuru und Kimwolf.

Googles Threat Intelligence Group (GTIG) hat zudem beobachtet, dass IPIDEA von Akteuren aus den Bereichen Spionage, Cyberkriminalität und Informationsoperationen, darunter Bedrohungsakteure mit Verbindungen zu China, Nordkorea, Iran und Russland, in großem Umfang eingesetzt wird, wobei die Aktivitäten vom Zugriff auf SaaS-Umgebungen und On-Premises-Infrastrukturen der Opfer bis hin zur Durchführung groß angelegter Passwort-Spray-Angriffe reichten.

In einer unabhängigen Maßnahme haben US-Behörden sowohl die Dark Web- als auch die Clearnet-Domains des bekannten Cybercrime-Forums RAMP (Russian Anonymous Marketplace) sichergestellt. Die Plattform wurde von Ransomware-as-a-Service-Gruppen, Erpressern und Initial-Access-Brokern genutzt. DNS-Einträge zeigen, dass Bundesbehörden nun die Domains kontrollieren. Die Abschaltung wurde ebenfalls von einem mutmaßlichen RAMP-Betreiber namens „Stallman“ bestätigt, der in einem Beitrag auf dem XSS-Hacking-Forum erklärte, dass Strafverfolgungsbehörden die Seite übernommen hätten.

Hungarian and Romanian police arrest 4 men linked to suspected swatting ring

Hungarian police, in cooperation with Romanian authorities, have taken action against four hackers suspected of making false and intimidating phone calls.

The investigation began in mid-July last year after police units received a series of reports about alleged serious crimes. Callers threatened bomb attacks on schools, religious institutions, and residential buildings, as well as killings and attacks on police units. The incidents involved so-called swatting (false reports intended to trigger emergency responses) and doxing, in which personal data is exposed online to intimidate victims.

Die Polizei ermittelte, dass die Verdächtigen die Opfer über die Plattform Discord kontaktierten. Nachdem sie persönliche Daten und Telefonnummern erlangt hatten, nutzten die Täter die Informationen angeblich, um bei den Behörden falsche Anzeigen zu erstatten.

Police arrested a 17-year-old Romanian citizen from Bihor County, a 16-year-old boy from Kisvárda, an 18-year-old man from Nyíregyháza, and a 20-year-old man from Budapest.

Bei den Razzien in Ungarn und Rumänien haben die Behörden elektronische Geräte und Speichermedien beschlagnahmt. Der 16-jährige Verdächtige aus Kisvárda wurde wegen bedrohender Sicherheit drohender Äußerungen angeklagt. Der rumänische Verdächtige steht vor Anklagen, darunter Terrorismus, Bedrohung, falsche Anklage und Missbrauch personenbezogener Daten. Beide Verdächtigen sind derzeit auf freiem Fuß. Der rechtliche Status der beiden übrigen Männer ist noch ungeklärt, während die Ermittler die beschlagnahmten Daten weiter analysieren.

Over 30 suspects charged in connection to the Ploutus ATM jackpotting scheme

The US Department of Justice announced federal charges against 31 additional people accused of participating in a large-scale ATM jackpotting scheme that allegedly netted millions of dollars using the Ploutus malware.

Prosecutors say that between February 2024 and December 2025, the group stole at least $5.4 million from a minimum of 63 ATMs, most of them operated by credit unions. The unsealed indictment follows charges brought last month against 56 other alleged perpetrators in the scheme.

Nach Angaben des DoJ umfasste die Operation eine sorgfältige Überwachung der Ziel-ATMs. Bandenmitglieder öffneten die ATM-Schränke, um zu testen, ob Alarme oder Reaktionen der Strafverfolgungsbehörden ausgelöst wurden. Falls keine Reaktion erfolgte, entfernten sie angeblich die Festplatten der Maschinen und ersetzten sie durch mit Malware infizierte Versionen oder schlossen USB-Sticks an, um Ploutus bereitzustellen.

Once installed, the malware allowed attackers to bypass ATM security systems and remotely command the machines to dispense cash. Federal officials said some of the defendants are undocumented immigrants with alleged ties to the Venezuelan gang Tren de Aragua (TdA). Charges include conspiracy to commit bank fraud and bank burglary, computer fraud, damage to protected computers, and related offenses.

Ploutus is a well-known ATM malware family that cybersecurity experts and US agencies have warned about for nearly a decade. The first major Ploutus-based jackpotting attacks were reported in Mexico in 2013.

Demo anfordern

ImmuniWeb kann Ihnen helfen, Datenpannen zu verhindern und regulatorische Anforderungen zu erfüllen.

Administrator of Kingdom the Market marketplace pleads guilty

A 33-year-old Slovakian man has admitted his role in operating Kingdom Market, a Dark Web marketplace that specialized in trading narcotics and stolen personal data.

Alan Bill aus Bratislava hat sich vor dem US-Bezirksgericht in St. Louis wegen eines Anklagepunkts der Verschwörung zur Verbreitung von Betäubungsmitteln schuldig bekannt. Kingdom Market war von März 2021 bis zu seinem Takedown im Dezember 2023 aktiv und ermöglichte Nutzern den Kauf und Verkauf illegaler Waren mittels Kryptowährung. Die Behörden beschlagnahmten beim Takedown im Dezember 2023 auch die Domains Kingdommarket[.]live und Kingdommarket[.]so.

According to court records, Bill admitted to providing web administration services for the marketplace, receiving cryptocurrency payments from Kingdom-associated wallets, and managing its online presence on platforms such as Reddit and Dread.

Bill wurde am 15. Dezember 2023 am Newark Liberty International Airport festgenommen, wo Zollbeamte elektronische Geräte und eine Hardware-Kryptowährungs-Wallet beschlagnahmten, die Beweise enthielten, die ihn mit der Operation in Verbindung brachten.

As part of his plea agreement, Bill agreed to forfeit cryptocurrency holdings across five different digital coins. Sentencing is scheduled for May 5. The charge carries a mandatory minimum sentence of five years in prison and a maximum of 40 years, along with potential fines of up to $5 million.

In einem separaten Fall hat sich der Mitbetrreiber des Empire Market, eines der größten Untergrundmärkte, in Chicago schuldig bekannt wegen einer Anklage wegen Drogenverschwörung auf Bundesebene. Der 30-jährige Raheim Hamilton gab zu, dass er und der Mitbetrreiber Thomas Pavey die Website von 2018 bis 2020 betrieben und dabei illegale Transaktionen im Wert von mehr als 430 Millionen US-Dollar, hauptsächlich Drogenverkäufe, ermöglicht haben, während sie Kryptowährungen nutzten, um sich der Strafverfolgung zu entziehen. Hamilton droht eine Mindeststrafe von 10 Jahren Haft und hat sich bereit erklärt, 1.230 Bitcoin und 24,4 Ether sowie drei Immobilien in Virginia abzutreten. Seine Urteilsverkündung ist für den 17. Juni 2026 angesetzt.