Een Oekraïense man die begin dit jaar door Nederland aan de Verenigde Staten werd uitgeleverd heeft bekend schuldig te zijn aan het ontwikkelen en aanbieden van de Raccoon-malware. Deze malware is een 'infostealer' en ontwikkeld om wachtwoorden en gegevens voor internetbankieren en cryptowallets te stelen. Raccoon werd sinds 2018 als 'malware-as-a-service' aangeboden, waarbij afnemers tegen betaling over de malware konden beschikken.

Voor het gebruik van de malware werd zo'n tweehonderd dollar per maand betaald. Afnemers gebruikten de malware bij phishingaanvallen om zo computers van nietsvermoedende slachtoffers te infecteren. De gestolen data werd vervolgens gebruikt voor financiële fraude en verkocht op online forums. Volgens de Amerikaanse autoriteiten zijn wereldwijd miljoenen computers met de Raccoon-malware besmet geraakt.

Via verschillende niet nader genoemde onderzoeksmethodes wist de FBI gegevens die via de malware door cybercriminelen waren gestolen veilig te stellen, waaronder meer dan vijftig miljoen unieke inloggegevens en andere vormen van identificatie. De FBI ontwikkelde een website waarmee mensen kunnen zien of ze slachtoffer van de malware zijn, maar de opsporingsdienst stelt dat het niet alle door de Raccoon gestolen informatie heeft veiliggesteld.

Twee jaar geleden kon de man, dankzij het traceren van zijn telefoon en een operationele securityfout met het koppelen van een Gmail-adres aan een iCloud-account, door de Nederlandse politie worden aangehouden. Tegelijkertijd wisten de FBI en de Italiaanse en Nederlandse autoriteiten de digitale infrastructuur van de Raccoon Infostealer te ontmantelen.

De man maakte meerdere keren bezwaar tegen zijn uitlevering aan de VS, maar eind vorig jaar oordeelde de rechtbank Den Haag dat hij niet aannemelijk kon maken dat hij in de VS onmenselijk behandeld zal worden en geen kans op een eerlijk proces heeft. Daarnaast noemde de rechter de door de Amerikaanse autoriteiten gegeven garanties voldoende. In de Verenigde Staten heeft de man nu bekend schuldig te zijn aan samenzwering tot computerinbreuk. Als onderdeel van zijn bekentenis doet de man afstand van 24.000 dollar en zal hij een bedrag van ruim 910.000 dollar vergoeden. Wanneer de rechter uitspraak doet is onbekend.