Een "pentester" van een beruchte cybercrimegroep die miljoenen creditcardgegevens buitmaakte en naar schatting voor meer dan 1 miljard dollar aan schade veroorzaakte is in de Verenigde Staten veroordeeld tot een gevangenisstraf van zeven jaar. Ook moet de 33-jarige Oekraïense man een vergoeding van 2,5 miljoen dollar betalen.

De man maakte deel uit van een groep criminelen die bekendstaat als Carbanak en FIN7. De groep wordt verantwoordelijk gehouden voor het aanvallen van honderden Amerikaanse bedrijven, het inbreken op duizenden systemen en het stelen van tientallen miljoenen creditcardgegevens die vervolgens werden doorverkocht aan andere criminelen.

Alleen in de VS zou de groep de netwerken van bedrijven in alle vijftig staten hebben gecompromitteerd en meer dan twintig miljoen creditcardgegevens van meer dan 6500 kassa's bij meer dan 3600 winkels hebben gestolen. Slachtoffers bleven met hoge kosten achter die volgens sommige schattingen bij elkaar meer dan 1 miljard dollar bedragen.

Om bedrijven met malware te infecteren maakte de groep onder andere gebruik van Office-documenten met kwaadaardige macro's en lnk-bestanden. Slachtoffers die een e-mail ontvingen werden in veel gevallen ook gebeld, om het bericht zo legitiem te laten lijken. Zodra het malafide bestand was geopend werden de Carbanak-malware en andere tools geïnstalleerd waarmee er toegang tot creditcardgegevens werd verkregen. De groep is al sinds 2015 actief.

Het Amerikaanse openbaar ministerie stelt dat FIN7 een zogenaamd bedrijf genaamd Combi Security gebruikte om handlangers te rekruteren. De website van Combi Security stelde dat het verschillende diensten leverde, waaronder penetratietests. Op de website stonden ook verschillende Amerikaanse bedrijven die slachtoffer waren geworden als klant vermeld.

De nu veroordeelde verdachte werkte sinds 2016 als "pentester" voor de groep en was verantwoordelijk voor het inbreken op systemen. Ook stuurde hij andere leden van de groep aan bij het aanvallen van organisaties. Ondanks berichten dat andere FIN7-leden waren aangehouden bleef de verdachte volgens de openbaar aanklager doorgaan met het uitvoeren van aanvallen. De Oekraïner kon in juni 2018 in Spanje worden aangehouden. In april van dit jaar werd een systeembeheerder van de groep nog veroordeeld tot een gevangenisstraf van tien jaar.