Een grote groep van meer dan 50 cybercriminelen heeft de afgelopen jaren naar schatting 100 miljoen dollar van bankrekeningen gestolen en tussen de 20 en 30 terabyte aan gegevens buitgemaakt. Dat hebben de FBI en beveiligingsbedrijven Crowdstrike en Fox-IT vandaag tijdens de Black Hat conferentie in Las Vegas laten weten.
De bende maakte gebruik van de GameOver Zeus-malware, een Trojaans paard dat op de beruchte Zeus Trojan was gebaseerd en voornamelijk werd gebruikt voor het stelen van gegevens voor internetbankieren en andere diensten. Het GameOver Zeus-botnet werd vorig jaar juni door de FBI, Europol, verschillende bedrijven en politiediensten uit de lucht gehaald. Begin dit jaar zette de FBI 3 miljoen dollar op het hoofd van een Russische man die verdacht wordt van de ontwikkeling van GameOver Zeus.
Uit vandaag gepubliceerde gegevens blijkt dat het botnet uit gemiddeld zo'n 200.000 systemen bestond. Naast het stelen van geld van bankrekeningen hield de bende achter GameOver Zeus zich ook bezig met spionage in Oost-Europese landen. In totaal zou er via de malware 20 tot 30 terabyte aan data zijn gestolen. Verder blijkt uit het onderzoek naar de criminelen dat ze goed georganiseerd zijn. De bende noemt zichzelf de "businessclub" en bestaat uit meer dan 50 personen. De Russische man die door de FBI wordt gezocht werd altijd als meesterbrein achter GameOver Zeus gezien, maar hij zou niet de enige leider van de groep criminelen zijn. Volgens de onderzoekers is er nog iemand anders met wie hij samen de bende leidt.
Fox-IT heeft een whitepaper over het onderzoek naar de businessclub en de GameOver Zeus Trojan online gezet (pdf). In de conclusie stellen de onderzoekers dat de Russische man die de malware zou hebben gemaakt bij meer zaken betrokken was dan alleen de fraude via GameOver Zeus. "We kunnen speculeren dat hij vanwege zijn werk een bepaald niveau van bescherming had gekregen en daardoor met verschillende misdrijven kon wegkomen, zolang ze niet tegen Rusland waren gericht. Dit blijft natuurlijk speculatie, maar het is mogelijk één van de redenen waarom hij nog steeds niet is aangehouden."
Deze posting is gelocked. Reageren is niet meer mogelijk.