我同雷港啊(粵語(yǔ)：我跟你講)，鍋(哥)當(dāng)年可是黑幫老大牛，上上下下木滴(沒(méi)有)一個(gè)人敢跟我作對(duì)，你造不呀?

[[265632]]

警察叔叔指著電視機(jī)里的港片畫(huà)面，一面敲著GozNym惡意軟件開(kāi)發(fā)者的腦殼一面振振有辭：“我同雷港啊(粵語(yǔ)：我跟你講)，作惡多了遲早遭報(bào)應(yīng)嘞，你造不呀?”

GozNym這個(gè)詞，想必不少人的腦海中還有印象——2016年，這個(gè)屌炸天的黑客“天團(tuán)”用GozNym惡意程序訪問(wèn)24家位于美國(guó)及加拿大的銀行，只花了短短的幾天便盜走數(shù)百萬(wàn)美元。

時(shí)隔三年，他們過(guò)得咋樣呢?沒(méi)錯(cuò)，全球通緝中。至于上面那個(gè)笑話嘛，一半是真事，另一半即將成真。

[[265633]]

5月17日，曾利用Avalanche惡意軟件分發(fā)網(wǎng)絡(luò)對(duì)企業(yè)和金融機(jī)構(gòu)發(fā)起惡意軟件GozNym網(wǎng)絡(luò)犯罪集團(tuán)十名成員被指控犯有計(jì)算機(jī)欺詐陰謀、電信和銀行欺詐陰謀以及洗錢(qián)等罪名。

還是那句老話，干這行啊，遲早是要還滴!

五名落網(wǎng)，五名在逃

據(jù)Bieeping Computer報(bào)道，任務(wù)在歐盟成員國(guó)(保加利亞和德國(guó))和全球執(zhí)法合作伙伴(格魯吉亞、摩爾多瓦、烏克蘭)的協(xié)助下執(zhí)行，他們起訴了GozNym網(wǎng)絡(luò)犯罪集團(tuán)十名成員，并在歐洲刑警組織、歐洲執(zhí)法合作署以及歐盟司法合作單位Eurojust的幫助下執(zhí)行抓捕計(jì)劃。

歐洲警察組織和聯(lián)邦調(diào)查局證實(shí)，亞歷山大·科諾沃洛夫和他的同謀瑪拉特·卡贊德吉因涉嫌參與Goznym網(wǎng)絡(luò)犯罪而在格魯吉亞受到起訴。目前該犯罪團(tuán)伙中的10名被告已有5名被捕，而起訴書(shū)中指控的另外5名俄羅斯公民仍在逃。

美國(guó)聯(lián)邦調(diào)查局稱(chēng)，尚未被捕的五名俄羅斯人仍試圖合謀用GozNym惡意軟件感染受害者的電腦，該軟件旨在獲取受害者的網(wǎng)上銀行登錄憑證;利用所取得的登入憑證，騙取受害人的網(wǎng)上銀行戶口;從受害者的銀行賬戶中竊取資金，并使用由同謀者控制的美國(guó)和外國(guó)受益銀行賬戶清洗這些資金。”

在逃人員中包括GozNym惡意軟件開(kāi)發(fā)人員Vladimir Gorin，他不僅編寫(xiě)了代碼，而且還將其出租給其他犯罪分子。另一名俄羅斯人則被指控是垃圾郵件發(fā)送者，他們向目標(biāo)發(fā)送網(wǎng)絡(luò)釣魚(yú)電子郵件，這其中包括包含惡意軟件的附件。

目前，F(xiàn)BI正加速對(duì)該五名罪犯的抓捕進(jìn)度。

GozNym犯罪過(guò)程回顧

在指控內(nèi)容中，歐洲刑警組織對(duì)2016年GozNym犯罪團(tuán)伙的犯罪過(guò)程進(jìn)行了詳細(xì)的介紹：被告使用的惡意軟件是“Nymaim和Gozi ISFB惡意軟件的混合木馬”。

歐洲刑警組織稱(chēng)，GozNym通過(guò)針對(duì)數(shù)十萬(wàn)個(gè)人和公司的大規(guī)模反垃圾郵件(malspam)活動(dòng)將病毒投放到目標(biāo)電腦上，并竊取受害者電腦上的銀行憑證。這些垃圾郵件看起來(lái)像合法的商業(yè)郵件，但其中包含了惡意附件或惡意鏈接，可以將受害者重定向到被控制的域名，并配置為在他們的電腦上下載GozNym惡意軟件。

惡意域和GozNym銀行木馬托管在Avalanche惡意軟件分發(fā)網(wǎng)絡(luò)的基礎(chǔ)架構(gòu)上，該網(wǎng)絡(luò)已被當(dāng)時(shí)的執(zhí)法部門(mén)查封并于2016年被拆除，這直接攔截了超過(guò)80萬(wàn)個(gè)分布在60多家注冊(cè)商中的域名。

罪犯聚居地：Avalanche網(wǎng)絡(luò)

歐洲刑警組織表示，Avalanche網(wǎng)絡(luò)為200多名網(wǎng)絡(luò)罪犯服務(wù)，并托管了20多種不同的惡意軟件活動(dòng)，這其中就包括GozNym。從控訴內(nèi)容看，GozNym集團(tuán)從4.1萬(wàn)多名受害者身上盜竊了大約1億美元，這其中主要是企業(yè)及其金融機(jī)構(gòu)。

在美國(guó)匹茲堡公布的起訴書(shū)內(nèi)容指控GozNym成員合謀執(zhí)行了如下犯罪活動(dòng)：

1、用GozNym惡意軟件感染受害者的電腦，以獲取受害者的網(wǎng)上銀行登錄憑證

2、利用所取得的登入憑證，騙取受害人的網(wǎng)上銀行戶口

3、從受害者的銀行賬戶中竊取資金，并利用被告控制的美國(guó)和外國(guó)受益人銀行賬戶洗錢(qián)

根據(jù)2016年12月US-CERT發(fā)出的警報(bào)，Avalanche網(wǎng)絡(luò)被用來(lái)托管以下系列惡意軟件：

• Windows加密特洛伊木馬(WVT)(又名Matsnu，Injector，Rannoh，Ransomlock.P)
• URLzone(又名Bebloh)
• Citadel
• VM-ZeuS(又名KINS)
• 布加特(又名Feodo，Geodo，Cridex，Dridex，Emotet)
• newGOZ(又名GameOverZeuS)
• Tinba(又名TinyBanker)
• Nymaim / GozNym
• Vawtrak(又名Neverquest)
• Marcher
• Pandabanker
• Ranbyus
• Smart AppTeslaCrypt
• Trusteer App
• Xswkit

Avalanche惡意軟件分發(fā)網(wǎng)絡(luò)亦被用作“快速流動(dòng)的僵尸網(wǎng)絡(luò)”，為其他僵尸網(wǎng)絡(luò)提供通訊基礎(chǔ)設(shè)施，包括:

• TeslaCrypt
• Nymaim
• Corebot
• GetTiny
• Matsnu
• Rovnix
• Urlzone
• QakBot(又名Qbot、PinkSlip Bot)

歐洲刑警組織稱(chēng)，GozNym的“網(wǎng)絡(luò)項(xiàng)目”提供了多種形式的犯罪服務(wù)，包括bulletproof hosters、money mules networks、 crypters、spammers、coders、organizers以及technical support。

所以，警察叔叔能不能抓得到這五名在逃的GozNym組織成員呢?宅宅不知道，但能肯定的是——我同雷港啊(粵語(yǔ)：我跟你講)，作惡多了遲早遭報(bào)應(yīng)嘞!

本文轉(zhuǎn)自雷鋒網(wǎng)，如需轉(zhuǎn)載請(qǐng)至雷鋒網(wǎng)官網(wǎng)申請(qǐng)授權(quán)。