Banking-Trojaner "JabberZeus"

Schweizer Polizei verhaftet Anführer einer vom FBI gejagten Hackerbande

Uhr
von Daniel Schurter, Watson

In Genf wurde angeblich der Boss einer Cybergang gefasst, die mit dem Banking-Trojaner "JabberZeus" dutzende Millionen erbeutete. Das Bundesamt für Justiz bestätigt, dass ein Ukrainer in Auslieferungshaft sei.

(Source: watson / shutterstock)
(Source: watson / shutterstock)

Der renommierte amerikanische IT-Sicherheitsforscher Brian Krebs machte am Dienstagabend in seinem Blog ("Krebs on Security") eine gewichtige Verhaftung publik. In Genf sei der 40-jährige ukrainische Anführer der berüchtigten "JabberZeus Crew" von der Polizei verhaftet worden.

Gemäss seinem Bericht handelt es sich um eine kleine, aber mächtige Gruppierung aus der Ukraine und aus Russland, die ihre Opfer mit einer massgeschneiderten Version des Zeus-Banking-Trojaners attackierte. Die Mitglieder der Hackergruppe werden vom FBI gesucht. Laut US-Staatsanwälten haben sie von Firmen über 70 Millionen Dollar gestohlen.

Was sagt der Bund?

Das Bundesamt für Justiz bestätigt auf Anfrage von watson, dass es in Genf zu einer solchen Verhaftung gekommen sei. Mediensprecher Raphael Frei: "Auf Anordnung des Bundesamts für Justiz (BJ) und gestützt auf ein Auslieferungsersuchen der USA wurde ein ukrainischer Staatsangehöriger am 23. Oktober 2022 im Kanton Genf verhaftet und in Auslieferungshaft versetzt. Die US-Behörden werfen dem Verfolgten unter anderem Erpressung, Bankbetrug und Identitätsdiebstahl vor."

Der Verhaftete sperrt sich gegen die Auslieferung – bislang ohne Erfolg, wie das BJ weiter mitteilt.

"Bei seiner Anhörung am 24. Oktober 2022 hat die verfolgte Person ihrer Auslieferung an die USA im Rahmen eines vereinfachten Verfahrens nicht zugestimmt. Nach Abschluss des formellen Auslieferungsverfahrens hat das BJ am 15. November 2022 entschieden, seine Auslieferung an die USA zu bewilligen." Der Entscheid des Bundesamtes für Justiz könne noch beim Schweizerischen Bundesstrafgericht, bzw. beim Bundesgericht, angefochten werden.

Wer ist der mutmassliche Boss der Bande?

Update: Laut BleepingComputer war der Verhaftete auch einer der Manager der Ransomware-Operationen Maze und Egregor. Die Maze-Ransomware machte doppelte Erpressungsangriffe ("Double Extortion") populär, bei denen die Hacker auch Daten stahlen und als Druckmittel nutzten, um die Opfer zur Zahlung eines Lösegelds zu drängen. Maze wurde später in die Ransomware-Operationen Egregor und Sekhmet umbenannt, um der Strafverfolgung zu entgehen.

Gemäss Brian Krebs stammt der Mann aus Donezk, einer traditionell russisch geprägten Region in der Ostukraine, die illegal von Russland annektiert wurde.

Unter dem Spitznamen "Tank" (Panzer) bekannt, wurde er 2012 von der US-Justiz im Geheimen angeklagt, weil er die Zeus-Malware und das Botnet verwendet haben soll, um Anmeldedaten für Bankkonten zu ergaunern.

In seiner Heimatstadt sei er ein bekannter DJ (Diskjockey), der es genossen habe, in seinen High-End-BMWs und Porsches herumgefahren zu werden. In jüngerer Zeit habe er ziemlich viel in lokale Unternehmen investiert. Wie Krebs schreibt, konnte sich der Cyberkriminelle der Strafverfolgung in der Ukraine vor über zehn Jahren entziehen, weil er politische Verbindungen zum gestürzten früheren ukrainischen Präsidenten Wiktor Janukowitsch hatte. Laut Krebs erhielt er 2010 einen Hinweis darauf, dass der Sicherheitsdienst der Ukraine (SBU) Durchsuchungsbefehle gegen sein Haus vorbereitete. Dies aufgrund der damals weitverbreiteten Korruption in der Organisation.

Ein weiteres Mitglied der JabberZeus-Bande – ein in der Ukraine geborener Mann mit dem Spitznamen "Aqua" – wird gemäss Krebs derzeit ebenfalls vom FBI gesucht. Auf ihn sei ein Kopfgeld von 5 Millionen US-Dollar ausgesetzt. Weitere Mitglieder der Bande waren bereits früher gefasst worden. Zwei Ukrainer wurden 2015 von Grossbritannien an die USA ausgeliefert, bekannten sich der Verschwörung schuldig und haben laut Bericht ihre Haftstrafen verbüsst.

Wie ging die Bande vor?

Nachdem die Kriminellen die Bankdaten (Login und Passwort) auf Computern ihrer Opfer mithilfe ihrer Schadsoftware erbeutet hatten, drangen sie unbemerkt in deren Bankkonten ein. Dann änderten sie die Lohnabrechnungen der Unternehmen, um Dutzende von sogenannten «Money Mules» hinzuzufügen. So werden kriminelle Helfer genannt, die angeworben wurden, um illegale Banküberweisungen abzuwickeln. Die "Maultiere" leiteten das Geld – abzüglich ihrer Provisionen – dann per Überweisung ins Ausland weiter.

Die Gruppe soll vor allem kleine und mittlere Unternehmen in den Vereinigten Staaten von Amerika sowie in Westeuropa gehackt und die Firmenkonten geplündert haben. Die JabberZeus-Malware ist vom mutmasslichen Autor des Zeus-Trojaners – Evgeniy Mikhailovich Bogachev, einem russischen Top-Cyberkriminellen, entwickelt worden. Es ist eine Spezialversion des berüchtigten Banking-Trojaners. Der Name stammt vom Instant-Messaging-Dienst Jabber, der in die Schadsoftware integriert war. Damit wurden die Hacker in Echtzeit informiert, wenn sich ein Opfer ins Bankkonto einloggte und unbemerkt seine Login-Daten preisgab.

Diese News ist zuerst auf Watson.ch erschienen.

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.

Webcode
DPF8_274925