Der renommierte amerikanische IT-Sicherheitsforscher Brian Krebs machte am Dienstagabend in seinem Blog («Krebs on Security») eine gewichtige Verhaftung publik. In Genf sei der 40-jährige ukrainische Anführer der berüchtigten «JabberZeus Crew» von der Polizei verhaftet worden.
Gemäss seinem Bericht handelt es sich um eine kleine, aber mächtige Gruppierung aus der Ukraine und aus Russland, die ihre Opfer mit einer massgeschneiderten Version des Zeus-Banking-Trojaners attackierte. Die Mitglieder der Hackergruppe werden vom FBI gesucht. Laut US-Staatsanwälten haben sie von Firmen über 70 Millionen Dollar gestohlen.
Das Bundesamt für Justiz bestätigt auf Anfrage von watson, dass es in Genf zu einer solchen Verhaftung gekommen sei. Mediensprecher Raphael Frei:
Der Verhaftete sperrt sich gegen die Auslieferung – bislang ohne Erfolg, wie das BJ weiter mitteilt.
Der Entscheid des Bundesamtes für Justiz könne noch beim Schweizerischen Bundesstrafgericht bzw. beim Bundesgericht angefochten werden.
Update: Laut BleepingComputer war der Verhaftete auch einer der Manager der Ransomware-Operationen Maze und Egregor. Die Maze-Ransomware machte doppelte Erpressungsangriffe («Double Extortion») populär, bei denen die Hacker auch Daten stahlen und als Druckmittel nutzten, um die Opfer zur Zahlung eines Lösegelds zu drängen. Maze wurde später in die Ransomware-Operationen Egregor und Sekhmet umbenannt, um der Strafverfolgung zu entgehen.
Gemäss Brian Krebs stammt der Mann aus Donezk, einer traditionell russisch geprägten Region in der Ostukraine, die illegal von Russland annektiert wurde.
Unter dem Spitznamen «Tank» (Panzer) bekannt, wurde er 2012 von der US-Justiz im Geheimen angeklagt, weil er die Zeus-Malware und das Botnet verwendet haben soll, um Anmeldedaten für Bankkonten zu ergaunern.
In seiner Heimatstadt sei er ein bekannter DJ (Diskjockey), der es genossen habe, in seinen High-End-BMWs und Porsches herumgefahren zu werden. In jüngerer Zeit habe er ziemlich viel in lokale Unternehmen investiert.
Wie Krebs schreibt, konnte sich der Cyberkriminelle der Strafverfolgung in der Ukraine vor über zehn Jahren entziehen, weil er politische Verbindungen zum gestürzten früheren ukrainischen Präsidenten Wiktor Janukowitsch hatte.
Laut Krebs erhielt er 2010 einen Hinweis darauf, dass der Sicherheitsdienst der Ukraine (SBU) Durchsuchungsbefehle gegen sein Haus vorbereitete. Dies aufgrund der damals weitverbreiteten Korruption in der Organisation.
Ein weiteres Mitglied der JabberZeus-Bande – ein in der Ukraine geborener Mann mit dem Spitznamen «Aqua» – wird gemäss Krebs derzeit ebenfalls vom FBI gesucht. Auf ihn sei ein Kopfgeld von 5 Millionen US-Dollar ausgesetzt.
Weitere Mitglieder der Bande waren bereits früher gefasst worden. Zwei Ukrainer wurden 2015 von Grossbritannien an die USA ausgeliefert, bekannten sich der Verschwörung schuldig und haben laut Bericht ihre Haftstrafen verbüsst.
Nachdem die Kriminellen die Bankdaten (Login und Passwort) auf Computern ihrer Opfer mithilfe ihrer Schadsoftware erbeutet hatten, drangen sie unbemerkt in deren Bankkonten ein. Dann änderten sie die Lohnabrechnungen der Unternehmen, um Dutzende von sogenannten «Money Mules» hinzuzufügen. So werden kriminelle Helfer genannt, die angeworben wurden, um illegale Banküberweisungen abzuwickeln. Die «Maultiere» leiteten das Geld – abzüglich ihrer Provisionen – dann per Überweisung ins Ausland weiter.
Die Gruppe soll vor allem kleine und mittlere Unternehmen in den Vereinigten Staaten von Amerika sowie in Westeuropa gehackt und die Firmenkonten geplündert haben.
Die JabberZeus-Malware ist vom mutmasslichen Autor des Zeus-Trojaners – Evgeniy Mikhailovich Bogachev, einem russischen Top-Cyberkriminellen, entwickelt worden. Es ist eine Spezialversion des berüchtigten Banking-Trojaners.
Der Name stammt vom Instant-Messaging-Dienst Jabber, der in die Schadsoftware integriert war. Damit wurden die Hacker in Echtzeit informiert, wenn sich ein Opfer ins Bankkonto einloggte und unbemerkt seine Login-Daten preisgab.
