我同雷港啊（粵語(yǔ)：我跟你講），鍋（哥）當(dāng)年可是黑幫老大牛，上上下下木滴（沒(méi)有）一個(gè)人敢跟我作對(duì)，你造不呀？

 

警察叔叔指著電視機(jī)里的港片畫面，一面敲著GozNym惡意軟件開發(fā)者的腦殼一面振振有辭：“我同雷港啊（粵語(yǔ)：我跟你講），作惡多了遲早遭報(bào)應(yīng)嘞，你造不呀？”

GozNym這個(gè)詞，想必不少人的腦海中還有印象——2016年，這個(gè)屌炸天的黑客“天團(tuán)”用GozNym惡意程序攻擊了24家位于美國(guó)及加拿大的銀行，只花了短短的幾天便盜走數(shù)百萬(wàn)美元。

時(shí)隔三年，他們過(guò)得咋樣呢？沒(méi)錯(cuò)，全球通緝中。至于上面那個(gè)笑話嘛，一半是真事，另一半即將成真。

5月17日，曾利用Avalanche惡意軟件分發(fā)網(wǎng)絡(luò)對(duì)企業(yè)和金融機(jī)構(gòu)發(fā)起惡意軟件攻擊的GozNym網(wǎng)絡(luò)犯罪集團(tuán)十名成員被指控犯有計(jì)算機(jī)欺詐陰謀、電信和銀行欺詐陰謀以及洗錢等罪名。

還是那句老話，干這行啊，遲早是要還滴！

五名落網(wǎng)，五名在逃

據(jù)Bieeping Computer報(bào)道，任務(wù)在歐盟成員國(guó)(保加利亞和德國(guó))和全球執(zhí)法合作伙伴（格魯吉亞、摩爾多瓦、烏克蘭）的協(xié)助下執(zhí)行，他們起訴了GozNym網(wǎng)絡(luò)犯罪集團(tuán)十名成員，并在歐洲刑警組織、歐洲執(zhí)法合作署以及歐盟司法合作單位Eurojust的幫助下執(zhí)行抓捕計(jì)劃。

歐洲警察組織和聯(lián)邦調(diào)查局證實(shí)，亞歷山大·科諾沃洛夫和他的同謀瑪拉特·卡贊德吉因涉嫌參與Goznym網(wǎng)絡(luò)犯罪而在格魯吉亞受到起訴。目前該犯罪團(tuán)伙中的10名被告已有5名被捕，而起訴書中指控的另外5名俄羅斯公民仍在逃。

美國(guó)聯(lián)邦調(diào)查局稱，尚未被捕的五名俄羅斯人仍試圖合謀用GozNym惡意軟件感染受害者的電腦，該軟件旨在獲取受害者的網(wǎng)上銀行登錄憑證；利用所取得的登入憑證，騙取受害人的網(wǎng)上銀行戶口；從受害者的銀行賬戶中竊取資金，并使用由同謀者控制的美國(guó)和外國(guó)受益銀行賬戶清洗這些資金。”

在逃人員中包括GozNym惡意軟件開發(fā)人員Vladimir Gorin，他不僅編寫了代碼，而且還將其出租給其他犯罪分子。另一名俄羅斯人則被指控是垃圾郵件發(fā)送者，他們向目標(biāo)發(fā)送網(wǎng)絡(luò)釣魚電子郵件，這其中包括包含惡意軟件的附件。

目前，F(xiàn)BI正加速對(duì)該五名罪犯的抓捕進(jìn)度。

GozNym犯罪過(guò)程回顧

在指控內(nèi)容中，歐洲刑警組織對(duì)2016年GozNym犯罪團(tuán)伙的犯罪過(guò)程進(jìn)行了詳細(xì)的介紹：攻擊中被告使用的惡意軟件是“Nymaim和Gozi ISFB惡意軟件的混合木馬”。

歐洲刑警組織稱，GozNym通過(guò)針對(duì)數(shù)十萬(wàn)個(gè)人和公司的大規(guī)模反垃圾郵件(malspam)活動(dòng)將病毒投放到目標(biāo)電腦上，并竊取受害者電腦上的銀行憑證。這些垃圾郵件看起來(lái)像合法的商業(yè)郵件，但其中包含了惡意附件或惡意鏈接，可以將受害者重定向到攻擊者控制的域名，并配置為在他們的電腦上下載GozNym惡意軟件。

惡意域和GozNym銀行木馬托管在Avalanche惡意軟件分發(fā)網(wǎng)絡(luò)的基礎(chǔ)架構(gòu)上，該網(wǎng)絡(luò)已被當(dāng)時(shí)的執(zhí)法部門查封并于2016年被拆除，這直接攔截了超過(guò)80萬(wàn)個(gè)分布在60多家注冊(cè)商中的域名。

罪犯聚居地：Avalanche網(wǎng)絡(luò)

歐洲刑警組織表示，Avalanche網(wǎng)絡(luò)為200多名網(wǎng)絡(luò)犯罪分子提供服務(wù)，并托管了20多種不同的惡意軟件攻擊活動(dòng)，這其中就包括GozNym。從控訴內(nèi)容看，GozNym集團(tuán)從4.1萬(wàn)多名受害者身上盜竊了大約1億美元，這其中主要是企業(yè)及其金融機(jī)構(gòu)。

在美國(guó)匹茲堡公布的起訴書內(nèi)容指控GozNym成員合謀執(zhí)行了如下犯罪活動(dòng)：

1、用GozNym惡意軟件感染受害者的電腦，以獲取受害者的網(wǎng)上銀行登錄憑證

2、利用所取得的登入憑證，騙取受害人的網(wǎng)上銀行戶口

3、從受害者的銀行賬戶中竊取資金，并利用被告控制的美國(guó)和外國(guó)受益人銀行賬戶洗錢

根據(jù)2016年12月US-CERT發(fā)出的警報(bào)，Avalanche網(wǎng)絡(luò)被用來(lái)托管以下系列惡意軟件：

Windows加密特洛伊木馬（WVT）（又名Matsnu，Injector，Rannoh，Ransomlock.P）

URLzone（又名Bebloh）

Citadel

VM-ZeuS（又名KINS）

布加特（又名Feodo，Geodo，Cridex，Dridex，Emotet）

newGOZ（又名GameOverZeuS）

Tinba（又名TinyBanker）

Nymaim / GozNym

Vawtrak（又名Neverquest）

Marcher

Pandabanker

Ranbyus

Smart AppTeslaCrypt

Trusteer App

Xswkit

Avalanche惡意軟件分發(fā)網(wǎng)絡(luò)亦被用作“快速流動(dòng)的僵尸網(wǎng)絡(luò)”，為其他僵尸網(wǎng)絡(luò)提供通訊基礎(chǔ)設(shè)施，包括:

TeslaCrypt

Nymaim

Corebot

GetTiny

Matsnu

Rovnix

Urlzone

QakBot(又名Qbot、PinkSlip Bot)

歐洲刑警組織稱，GozNym的“網(wǎng)絡(luò)項(xiàng)目”提供了多種形式的犯罪服務(wù)，包括bulletproof hosters、money mules networks、 crypters、spammers、coders、organizers以及technical support。

所以，警察叔叔能不能抓得到這五名在逃的GozNym組織成員呢？宅宅不知道，但能肯定的是——我同雷港?。ɑ浾Z(yǔ)：我跟你講），作惡多了遲早遭報(bào)應(yīng)嘞！

參考來(lái)源：Bieeping Computer雷鋒網(wǎng)雷鋒網(wǎng)雷鋒網(wǎng)

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。