Nachricht

May 24, 2024

Letzter Gozi 3 erhält 36 Monate wegen Malware-Operationsplan • The Register

Der letzte der drei Männer, die für die Infektion von Windows-Computern mit dem Banktrojaner Gozi verantwortlich sein sollen, wurde zu drei Jahren Haft verurteilt. Mihai Ionut Paunescu, 37, soll das geliefert haben

Der letzte der drei Männer, die für die Infektion von Windows-Computern mit dem Banktrojaner Gozi verantwortlich sein sollen, wurde zu drei Jahren Haft verurteilt.

Mihai Ionut Paunescu, 37, soll das kugelsichere Hosting bereitgestellt haben, das für die effiziente Durchführung von Malware-Operationen so wichtig ist, und es seinen Mitverschwörern ermöglicht haben, die Gozi-Malware zu verbreiten, die vertrauliche Finanzinformationen von Millionen von Computern, darunter einigen Windows-Computern, gestohlen hat Boxen laufen bei der NASA.

Der rumänische Staatsbürger, der laut Fed auch als „Virus“ bekannt war, wurde am Montag zu drei Jahren Gefängnis verurteilt [PDF]. Er wurde letztes Jahr in Kolumbien ausgeliefert, wo er offenbar gelebt hatte, nachdem er nach einer Festnahme in Rumänien im Jahr 2012 gegen Kaution freigelassen worden war.

Gozi tauchte bekanntlich im Jahr 2007 auf und nutzte Phishing-Kampagnen, um Millionen von Windows-Rechnern zu infizieren, was weltweit „Verluste in zweistelliger Millionenhöhe“ verursachte. Den Gerichtsunterlagen zufolge befanden sich mindestens 40.000 dieser Computer in den USA und einige gehörten der NASA. Den Gerichtsakten zufolge wurde der Raumfahrtbehörde ein Schaden in Höhe von 19.000 US-Dollar zugefügt.

Die Reg hat den Anwalt von Paunescu um eine Stellungnahme gebeten.

Laut der ursprünglichen Beschwerde [PDF] hatte Paunescu einen dedizierten Server in Kalifornien gemietet, der als Proxy für Computer fungierte, die mit dem Gozi-Virus und dem Zeus-Trojaner infiziert waren. Staatsanwälte sagen, Paunescu habe IP-Adressen von ISPs gemietet und sie an Kriminelle weitergegeben.

Die Fed geht davon aus, dass die Operation [PDF] vom Russen Nikita Kuzmin, alias „76“, geleitet wurde, wobei Paunescu und der Lette Dennis Čalovskis, alias „Miami“, mit ihm zusammenarbeiteten. Sophos beschrieb das Trio damals als „COO“, „CIO“ und „Senior Programmer“ der Bande.

Der mutmaßliche Boss Kuzmin bekannte sich im Mai 2011 wegen Computereinbruchs und Betrugs schuldig und wurde im Mai 2016 zu einer Freiheitsstrafe (37 Monate) verurteilt und musste 6,9 ​​Millionen US-Dollar zurückzahlen, während Čalovskis, von dem die Staatsanwälte sagen, dass er mit Sicherheit den Computercode geschrieben hat. „Web-Injects“, die es Gozi ermöglichten, Informationen von bestimmten Banken abzugreifen, wurde im Januar 2016 wegen seiner Beteiligung an der Straftat zu einer Freiheitsstrafe (21 Monate) verurteilt.

Die Feds beschrieben Kuzmin sowohl als den Schöpfer von Gozi als auch als „Pionier“ bei der Entwicklung „eines innovativen Mittels, es zu verteilen und davon zu profitieren“.

Ein namentlich nicht genannter Ermittler sagte dem Infosec-Journalisten Brian Krebs zum Zeitpunkt der Festnahmen im Jahr 2013 sogar, dass „76 Service“ – bezogen auf die von Kuzmin bei Phishing-Angriffen auf die Bankkonten der Opfer bereitgestellten Dienste – mit „Salesforce für Bösewichte“ vergleichbar sei.

Die widerwillige Bewunderung der FBI-Computerexperten, die den Beamten bei den Ermittlungen geholfen haben, scheint in die Pressemitteilung der New Yorker Staatsanwaltschaft aus dem Jahr 2016 eingeflossen zu sein, in der seine Verurteilung bekannt gegeben wurde. Darin heißt es:

Im Gegensatz zu vielen Cyberkriminellen dieser Zeit, die von Malware nur dadurch profitierten, dass sie damit Geld stahlen, vermietete Kuzmin Gozi an andere Kriminelle und war damit Vorreiter für das Modell der Cyberkriminellen als Dienstleister für andere Kriminelle. Für eine Gebühr von 500 US-Dollar pro Woche, die in WebMoney, einer von Cyberkriminellen weit verbreiteten digitalen Währung, gezahlt wurde, vermietete Kuzmin die „ausführbare Gozi-Datei“, die Datei, mit der Opfer mit Gozi-Malware infiziert werden konnten, an andere Kriminelle.

Paunescu bekannte sich jedoch nur im ersten Anklagepunkt schuldig, nämlich der Verschwörung zum Computereinbruch. Die anderen beiden Anklagen gegen ihn, Verschwörung zum Bankbetrug und Verschwörung zum Überweisungsbetrug, wurden am Montag von der Staatsanwaltschaft abgewiesen.

Gozi-Malware wird von heutigen Kriminellen immer noch weit verbreitet verwendet. Die Forscher von Checkpoint führen ihre Langlebigkeit teilweise auf einen Vorfall zurück, bei dem der Quellcode der Gozi-„ISFB“-Variante (im Gegensatz zur Gozi-CRM-Variante – und ja, das steht für …) „Customer Relationship Management“) ist irgendwann zwischen 2013 und 2015 durchgesickert. Die Bedrohungsforscher beschreiben es als „erschreckend lukrativ, selbst im Vergleich zum ohnehin schon lukrativen Markt für Cyberkriminalität“. Verschiedene auf ISFB basierende Forks, darunter GozNym oder Dreambot, gibt es auch heute noch. Im Oktober letzten Jahres sagten Forscher, sie hätten bemerkt, dass es sich weiterentwickelt, um Erpressungssoftware zu unterstützen. ®

Senden Sie uns Neuigkeiten