出來混遲早要還，FBI 通緝5名在逃黑客

我同雷港啊（粵語：我跟你講），鍋（哥）當年可是黑幫老大牛，上上下下木滴（沒有）一個人敢跟我作對，你造不呀？

警察叔叔指著電視機里的港片畫面，一面敲著GozNym惡意軟體開發者的腦殼一面振振有辭：「我同雷港啊（粵語：我跟你講），作惡多了遲早遭報應嘞，你造不呀？」

GozNym這個詞，想必不少人的腦海中還有印象——2016年，這個屌炸天的黑客「天團」用GozNym惡意程序攻擊了24家位於美國及加拿大的銀行，只花了短短的幾天便盜走數百萬美元。

時隔三年，他們過得咋樣呢？沒錯，全球通緝中。至於上面那個笑話嘛，一半是真事，另一半即將成真。

5月17日，曾利用Avalanche惡意軟體分發網路對企業和金融機構發起惡意軟體攻擊的GozNym網路犯罪集團十名成員被指控犯有計算機欺詐陰謀、電信和銀行欺詐陰謀以及洗錢等罪名。

還是那句老話，干這行啊，遲早是要還滴！

五名落網，五名在逃

據Bieeping Computer報道，任務在歐盟成員國(保加利亞和德國)和全球執法合作夥伴（喬治亞、摩爾多瓦、烏克蘭）的協助下執行，他們起訴了GozNym網路犯罪集團十名成員，並在歐洲刑警組織、歐洲執法合作署以及歐盟司法合作單位Eurojust的幫助下執行抓捕計劃。

歐洲警察組織和聯邦調查局證實，亞歷山大·科諾沃洛夫和他的同謀瑪拉特·卡贊德吉因涉嫌參與Goznym網路犯罪而在喬治亞受到起訴。目前該犯罪團伙中的10名被告已有5名被捕，而起訴書中指控的另外5名俄羅斯公民仍在逃。

美國聯邦調查局稱，尚未被捕的五名俄羅斯人仍試圖合謀用GozNym惡意軟體感染受害者的電腦，該軟體旨在獲取受害者的網上銀行登錄憑證；利用所取得的登入憑證，騙取受害人的網上銀行戶口；從受害者的銀行賬戶中竊取資金，並使用由同謀者控制的美國和外國受益銀行賬戶清洗這些資金。」

在逃人員中包括GozNym惡意軟體開發人員Vladimir Gorin，他不僅編寫了代碼，而且還將其出租給其他犯罪分子。另一名俄羅斯人則被指控是垃圾郵件發送者，他們向目標發送網路釣魚電子郵件，這其中包括包含惡意軟體的附件。

目前，FBI正加速對該五名罪犯的抓捕進度。

GozNym犯罪過程回顧

在指控內容中，歐洲刑警組織對2016年GozNym犯罪團伙的犯罪過程進行了詳細的介紹：攻擊中被告使用的惡意軟體是「Nymaim和Gozi ISFB惡意軟體的混合木馬」。

歐洲刑警組織稱，GozNym通過針對數十萬個人和公司的大規模反垃圾郵件(malspam)活動將病毒投放到目標電腦上，並竊取受害者電腦上的銀行憑證。這些垃圾郵件看起來像合法的商業郵件，但其中包含了惡意附件或惡意鏈接，可以將受害者重定向到攻擊者控制的域名，並配置為在他們的電腦上下載GozNym惡意軟體。

惡意域和GozNym銀行木馬託管在Avalanche惡意軟體分發網路的基礎架構上，該網路已被當時的執法部門查封並於2016年被拆除，這直接攔截了超過80萬個分布在60多家註冊商中的域名。

罪犯聚居地：Avalanche網路

歐洲刑警組織表示，Avalanche網路為200多名網路犯罪分子提供服務，並託管了20多種不同的惡意軟體攻擊活動，這其中就包括GozNym。從控訴內容看，GozNym集團從4.1萬多名受害者身上盜竊了大約1億美元，這其中主要是企業及其金融機構。

在美國匹茲堡公布的起訴書內容指控GozNym成員合謀執行了如下犯罪活動：

1、用GozNym惡意軟體感染受害者的電腦，以獲取受害者的網上銀行登錄憑證

2、利用所取得的登入憑證，騙取受害人的網上銀行戶口

3、從受害者的銀行賬戶中竊取資金，並利用被告控制的美國和外國受益人銀行賬戶洗錢

根據2016年12月US-CERT發出的警報，Avalanche網路被用來託管以下系列惡意軟體：

Windows加密特洛伊木馬（WVT）（又名Matsnu，Injector，Rannoh，Ransomlock.P）

URLzone（又名Bebloh）

Citadel

VM-ZeuS（又名KINS）

布加特（又名Feodo，Geodo，Cridex，Dridex，Emotet）

newGOZ（又名GameOverZeuS）

Tinba（又名TinyBanker）

Nymaim / GozNym

Vawtrak（又名Neverquest）

Marcher

Pandabanker

Ranbyus

Smart AppTeslaCrypt

Trusteer App

Xswkit

Avalanche惡意軟體分發網路亦被用作「快速流動的殭屍網路」，為其他殭屍網路提供通訊基礎設施，包括:

TeslaCrypt

Nymaim

Corebot

GetTiny

Matsnu

Rovnix

Urlzone

QakBot(又名Qbot、PinkSlip Bot)

歐洲刑警組織稱，GozNym的「網路項目」提供了多種形式的犯罪服務，包括bulletproof hosters、money mules networks、 crypters、spammers、coders、organizers以及technical support。

所以，警察叔叔能不能抓得到這五名在逃的GozNym組織成員呢？宅宅不知道，但能肯定的是——我同雷港啊（粵語：我跟你講），作惡多了遲早遭報應嘞！

參考來源：Bieeping Computer雷鋒網雷鋒網雷鋒網

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！