Podignuta optužnica protiv članova kriminalne grupe GozNym zbog krađe 100 miliona dolara

Sajber hronika, 17.05.2019, 11:30 AM

Deset članova grupe GozNym koja je koristila distributivnu mrežu malvera Avalanche za napade na kompanije i finansijske institucije, juče je optuženo za krađu 100 miliona dolara od 41000 žrtava, pre svega od kompanija i finansijskih institucija, ali i manjih firmi i neprofitnih organizacija.

"Mreža Avalanche je pružala usluge za više od 200 sajber-kriminalaca i hostovala je više od dvadeset različitih malicioznih kampanja, uključujući i GozNym", saopštio je Europol.

U optužnici koja je otpečaćena u Pitsburgu, u SAD, članovi grupe GozNym optuženi su za zaveru sa ciljem da:

- inficiraju računare žrtava malverom GozNym dizajniranim da ukrade lozinke za prijavljivanje na online bankovne račune;

- iskoriste ukradene podatke za prijavljivanje za neovlašćeni pristup bankovnim računima žrtava;

- ukradu novac sa bankovnih računa žrtava i

- da ukradeni novac “operu” koristeći bankovne račune u američkim i stranim bankama koje su kontrolisali optuženi.

Od deset optuženih, pet je već uhapšeno, dok je pet ruskih državljana koji se pominju u optužnici, uključujući i autora GozNym malvera, još uvek u bekstvu.

Vođi kriminalne grupe GozNym, i njegovom pomoćniku, sudi se u Gruziji.

Bugarska je Sjedinjenim Državama izručila jednog člana grupe, koji je bio zadužen za preuzimanje bankovnih računa. Članu grupe koji je kriptovao malver GozNym, kako ne bi bio otkriven u mrežama, sudi se u Moldaviji. Dvojici optuženih sudi se u Nemačkoj za pranje novca.

Malver koji su optuženi koristili u napadima je hibridni trojanac nastao od malvera Nymaim i Gozi. Nymaim je “dropper” koji se koristi da bi zarazio uređaj drugim malverom. Sve do 2015., Nymaim je prvenstveno korišćen za infekciju uređaja ransomwareima.

Gozi je stari malver koji se prvi put pojavio 2007. godine. On se koristio "u napadima na više od 24 američke i kanadske banke", što su detaljno opisali istraživači IBM X-Force tima u aprilu 2016.

Kombinovanjem ova dva malvera storeno je, kako se jedan stručnjak izrazio, “dvoglavo čudovište”.

GozNym je distriburain u spam kampanjama koje su bile usmerene protiv stotina hiljada pojedinaca i kompanija, a grupa ga je koristila da ukrade podatke za prijavljivanje na bankovne račune žrtava sa kompromitovanih računara.

Spam emailovi su bili dizajnirani tako da izgledaju kao legitimni poslovni emailovi koji sadrže ili maliciozni prilog ili maliciozni link koji preusmerava žrtve na domene koje kontrolišu napadači sa kojih su žrtve preuzimale malver GozNym na svoje računare.

Maliciozni domeni i bankarski trojanac GozNym bili su hostovani na infrastrukturi Avalanche distributivne mreže koja je rasformirana 2016. godine kada je policija zaplenila i blokirala više od 800000 domena.

Dok je bila funkcionalna, mreža Avalanche je korišćena za hostovanje sledećih malvera: WVT (Windows-encryption Trojan, Matsnu, Injector, Rannoh, Ransomlock.P), URLzone (Bebloh), Citadel, VM-ZeuS (KINS), Bugat (Feodo, Geodo, Cridex, Dridex, Emotet), newGOZ (GameOverZeuS), Tinba (TinyBanker), Nymaim/GozNym, Vawtrak (Neverquest), Marcher, Pandabanker, Ranbyus, Smart App, TeslaCrypt, Trusteer App i Xswkit.

Mreža je takođe pružala komunikacionu infrastrukturu za brojne botnetove, uključujući TeslaCrypt, Nymaim, Corebot, GetTiny, Matsnu, Rovnix, Urlzone, QakBot (Qbot, PinkSlip Bot).

Vođa kriminalne grupe GozNym, gruzijski državljanin iz Tbilisija, je bio taj koji je davao pristup malveru koji je korišćen u napadima koji su doveli do finansijskih gubitaka koji su procenjeni na oko 100 miliona dolara. On je takođe regrutovao druge sajber kriminalce na osnovu njihovog umeća i usluga koje su oglašavali na ruskim hakerskim forumima.

Grupa je pružala razne usluge u vezi sajber-kriminala, počev od "neprobojnog hostinga, mreže mula za prenos novca, kriptera, spamera, kodera, organizatora do tehničke podrške", kaže Europol.

Optužnica protiv deset članova grupe GozNym je rezultat međunarodne saradnje nadležnih institucija iz zemalja članica EU (Bugarska i Nemačka), kao i Gruzije, Moldavije, Ukrajine i Sjedinjenih Država. Istraga je takođe dobila veliku podršku od Europola i Eurojusta.