出來混遲早要還，FBI 通緝5名在逃黑客

我同雷港啊（粵語：我跟你講），鍋（哥）當年可是黑幫老大牛，上上下下木滴（沒有）一個人敢跟我作對，你造不呀？

 

警察叔叔指著電視機里的港片畫面，一面敲著GozNym惡意軟件開發者的腦殼一面振振有辭：“我同雷港啊（粵語：我跟你講），作惡多了遲早遭報應嘞，你造不呀？”

GozNym這個詞，想必不少人的腦海中還有印象——2016年，這個屌炸天的黑客“天團”用GozNym惡意程序攻擊了24家位于美國及加拿大的銀行，只花了短短的幾天便盜走數百萬美元。

時隔三年，他們過得咋樣呢？沒錯，全球通緝中。至于上面那個笑話嘛，一半是真事，另一半即將成真。

5月17日，曾利用Avalanche惡意軟件分發網絡對企業和金融機構發起惡意軟件攻擊的GozNym網絡犯罪集團十名成員被指控犯有計算機欺詐陰謀、電信和銀行欺詐陰謀以及洗錢等罪名。

還是那句老話，干這行啊，遲早是要還滴！

五名落網，五名在逃

據Bieeping Computer報道，任務在歐盟成員國(保加利亞和德國)和全球執法合作伙伴（格魯吉亞、摩爾多瓦、烏克蘭）的協助下執行，他們起訴了GozNym網絡犯罪集團十名成員，并在歐洲刑警組織、歐洲執法合作署以及歐盟司法合作單位Eurojust的幫助下執行抓捕計劃。

歐洲警察組織和聯邦調查局證實，亞歷山大·科諾沃洛夫和他的同謀瑪拉特·卡贊德吉因涉嫌參與Goznym網絡犯罪而在格魯吉亞受到起訴。目前該犯罪團伙中的10名被告已有5名被捕，而起訴書中指控的另外5名俄羅斯公民仍在逃。

美國聯邦調查局稱，尚未被捕的五名俄羅斯人仍試圖合謀用GozNym惡意軟件感染受害者的電腦，該軟件旨在獲取受害者的網上銀行登錄憑證；利用所取得的登入憑證，騙取受害人的網上銀行戶口；從受害者的銀行賬戶中竊取資金，并使用由同謀者控制的美國和外國受益銀行賬戶清洗這些資金。”

在逃人員中包括GozNym惡意軟件開發人員Vladimir Gorin，他不僅編寫了代碼，而且還將其出租給其他犯罪分子。另一名俄羅斯人則被指控是垃圾郵件發送者，他們向目標發送網絡釣魚電子郵件，這其中包括包含惡意軟件的附件。

目前，FBI正加速對該五名罪犯的抓捕進度。

GozNym犯罪過程回顧

在指控內容中，歐洲刑警組織對2016年GozNym犯罪團伙的犯罪過程進行了詳細的介紹：攻擊中被告使用的惡意軟件是“Nymaim和Gozi ISFB惡意軟件的混合木馬”。

歐洲刑警組織稱，GozNym通過針對數十萬個人和公司的大規模反垃圾郵件(malspam)活動將病毒投放到目標電腦上，并竊取受害者電腦上的銀行憑證。這些垃圾郵件看起來像合法的商業郵件，但其中包含了惡意附件或惡意鏈接，可以將受害者重定向到攻擊者控制的域名，并配置為在他們的電腦上下載GozNym惡意軟件。

惡意域和GozNym銀行木馬托管在Avalanche惡意軟件分發網絡的基礎架構上，該網絡已被當時的執法部門查封并于2016年被拆除，這直接攔截了超過80萬個分布在60多家注冊商中的域名。

罪犯聚居地：Avalanche網絡

歐洲刑警組織表示，Avalanche網絡為200多名網絡犯罪分子提供服務，并托管了20多種不同的惡意軟件攻擊活動，這其中就包括GozNym。從控訴內容看，GozNym集團從4.1萬多名受害者身上盜竊了大約1億美元，這其中主要是企業及其金融機構。

在美國匹茲堡公布的起訴書內容指控GozNym成員合謀執行了如下犯罪活動：

1、用GozNym惡意軟件感染受害者的電腦，以獲取受害者的網上銀行登錄憑證

2、利用所取得的登入憑證，騙取受害人的網上銀行戶口

3、從受害者的銀行賬戶中竊取資金，并利用被告控制的美國和外國受益人銀行賬戶洗錢

根據2016年12月US-CERT發出的警報，Avalanche網絡被用來托管以下系列惡意軟件：

Windows加密特洛伊木馬（WVT）（又名Matsnu，Injector，Rannoh，Ransomlock.P）

URLzone（又名Bebloh）

Citadel

VM-ZeuS（又名KINS）

布加特（又名Feodo，Geodo，Cridex，Dridex，Emotet）

newGOZ（又名GameOverZeuS）

Tinba（又名TinyBanker）

Nymaim / GozNym

Vawtrak（又名Neverquest）

Marcher

Pandabanker

Ranbyus

Smart AppTeslaCrypt

Trusteer App

Xswkit

Avalanche惡意軟件分發網絡亦被用作“快速流動的僵尸網絡”，為其他僵尸網絡提供通訊基礎設施，包括:

TeslaCrypt

Nymaim

Corebot

GetTiny

Matsnu

Rovnix

Urlzone

QakBot(又名Qbot、PinkSlip Bot)

歐洲刑警組織稱，GozNym的“網絡項目”提供了多種形式的犯罪服務，包括bulletproof hosters、money mules networks、 crypters、spammers、coders、organizers以及technical support。

所以，警察叔叔能不能抓得到這五名在逃的GozNym組織成員呢？宅宅不知道，但能肯定的是——我同雷港啊（粵語：我跟你講），作惡多了遲早遭報應嘞！

參考來源：Bieeping Computer雷鋒網雷鋒網雷鋒網

雷峰網原創文章，未經授權禁止轉載。詳情見轉載須知。