Een Oekraïens staatsburger heeft in de VS schuld bekend aan zijn rol in twee verschillende malwareprogramma’s, Zeus en IcedID, tussen mei 2009 en februari 2021.
Vyacheslav Igorevich Penchukov (ook bekend als Vyacheslav Igoravich Andreev, vader en tank), 37, werd in oktober 2022 door de Zwitserse autoriteiten gearresteerd en vorig jaar uitgeleverd aan de VS. In 2012 werd hij toegevoegd aan de meest gezochte lijst van de FBI.
Het Amerikaanse ministerie van Justitie omschreef Penchukov als een “leider van twee productieve malwaregroepen” die duizenden computers met malware infecteerden, wat leidde tot ransomware en de diefstal van miljoenen dollars.
Dit omvatte onder meer de Zeus-banktrojan die de diefstal van bankrekeninggegevens, wachtwoorden, persoonlijke identificatienummers en andere gegevens mogelijk maakte die nodig zijn om in te loggen op online bankrekeningen.
Penchukov en zijn mede-samenzweerders, als onderdeel van de ‘veelomvattende afpersingsonderneming’ genaamd de Jabber Zeus-bende, deden zich vervolgens voor als werknemers van de slachtoffers om ongeoorloofde geldoverdrachten te initiëren.
Ze gebruikten ook personen die in de VS en andere delen van de wereld woonden als ‘geldmuilezels’ om de geldbedragen te ontvangen, die uiteindelijk naar buitenlandse rekeningen werden gesluisd die onder controle stonden van Penchukov et al. Een opvolger van Zeus werd in 2014 ontmanteld.
De verdachte is ook beschuldigd van het faciliteren van kwaadwillige activiteiten door te helpen bij het leiden van aanvallen met de IcedID (ook wel BokBot)-malware vanaf ten minste november 2018. De malware kan fungeren als informatiedief en als lader voor andere payloads, zoals ransomware.
Uiteindelijk wist onderzoeksjournalist Brian Krebs in 2022 te ontkomen aan vervolging door Oekraïense cybercriminaliteitsonderzoekers vanwege zijn politieke connecties met de voormalige Oekraïense president Victor Janoekovitsj.
Na zijn arrestatie en uitlevering pleitte Penchukov schuldig aan één aanklacht wegens samenzwering om een door afpersers beïnvloede en corrupte organisatie (RICO) te begaan vanwege zijn leidende rol in de Jabber Zeus-groep. Hij pleitte ook schuldig aan één aanklacht wegens samenzwering om draadfraude te plegen vanwege zijn leidende rol in de IcedID-malwaregroep.
Penchukov zal naar verwachting op 9 mei 2024 worden veroordeeld en kan voor elke aanklacht een maximumstraf van twintig jaar gevangenisstraf krijgen.
De ontwikkeling komt op het moment dat het DoJ de uitlevering aankondigde van een 28-jarige Oekraïense staatsburger uit Nederland in verband met fraude, het witwassen van geld en ernstige identiteitsdiefstal door naar verluidt een informatiedief te exploiteren en te adverteren, bekend als Raccoon.
Mark Sokolovsky, die in maart 2022 door de Nederlandse autoriteiten werd gearresteerd, verhuurde Raccoon aan andere cybercriminelen op basis van een malware-as-a-service (MaaS)-model voor $ 200 per maand. Het werd voor het eerst beschikbaar in april 2019.
“Deze personen gebruikten verschillende listigheden, zoals e-mailphishing, om de malware op de computers van nietsvermoedende slachtoffers te installeren”, aldus het DoJ.
“Raccoon infostealer stal vervolgens persoonlijke gegevens van de computers van slachtoffers, waaronder inloggegevens, financiële informatie en andere persoonlijke gegevens. Gestolen informatie werd gebruikt om financiële misdaden te plegen of werd aan anderen verkocht op cybercriminaliteitsforums.”
Volgens schattingen van het Amerikaanse Federal Bureau of Investigation (FBI) zijn door de malware minstens 50 miljoen unieke inloggegevens en vormen van identificatie verzameld.
De arrestatie van Sokolovsky ging gepaard met een gecoördineerde verwijdering van de digitale infrastructuur van Raccoon, maar sindsdien is er een nieuwe versie van de dief, RecordBreaker genaamd, in het wild opgedoken.
Hij is beschuldigd van één aanklacht wegens samenzwering om fraude te plegen en aanverwante activiteiten in verband met computers, één aanklacht van samenzwering om telegrafische fraude te plegen, één aanklacht van samenzwering om het witwassen van geld te plegen, en één aanklacht van verergerde identiteitsdiefstal.
