Tre Romeni di corse estremamente complessa frode online operazione insieme con un massiccio malware, botnet per nove anni, decine di milioni di dollari, ma il loro crimine spree è ormai finita, e tutti e tre saranno diretti al carcere dalla fine di agosto di quest’anno.
I tre sono stati arrestati nel tardo 2016 dopo che l’FBI e Symantec aveva silenziosamente hanno inseguito il loro malware server per anni, pazientemente in attesa per il gruppo altamente qualificato di fare errori che potrebbero lasciare abbastanza di un percorso da seguire di nuovo al loro reale identità.
Tali errori è venuto nel 2015, quando il gruppo di server proxy cominciò perdere dettagli sul gruppo del traffico, che alla fine portano gli investigatori sulla strada giusta, e quando, più tardi, che un anno di hacker fatto uno sfortunato viaggio a Miami, dove l’FBI segretamente ricerca il suo telefono al confine.
Un anno dopo, la polizia romena sono stati busting appartamento porte a Bucarest, la capitale della Romania è, e prendendo i membri del gruppo in custodia.
Questa settimana, due di questa gang membri sono stati condannati da una giuria federale, mentre un terzo di loro aveva già dichiarato colpevole lo scorso novembre. I tre trovano ora ad affrontare un lungo periodo di carcere frasi in quasi due dozzine di spese, ogni.
Chi è il Bayrob gang?
I tre hacker sono Bogdan Nicolescu (“Masterfraud” o “mf”), Radu Miclaus (“Minolta” o “min”), e Tiberiu Danet (aka “Amightysa” o “amy”).
Immagine: Symantec
×
bayrob-gang.jpg
Collettivamente, essi sono ora conosciuto come il Bayrob gang, dopo il nome di Symantec ha dato al malware, il gruppo ha sviluppato per la prima volta nel 2007.
Quando il gruppo ha iniziato il loro cammino di criminalità informatica. Proprio come tutti “imprenditori” hanno iniziato piccole.
Hanno scelto per la copertura di frode, perché, al momento, è quello che maggiormente rumeno hacker sono stati in. A metà degli anni 2000, la Romania è uno dei più prodigiosi paesi nel mondo della criminalità informatica.
Alcuni di questi hacker è venuto dai banchi del paese, molti di informatica università, un po ‘ di auto-istruiti su decine di hacking e sicurezza informatica forum che ingombravano il rumeno internet.
Il reato-du-jour, al momento, e quello che Rumeni hacker divenne famoso per, era una frode online, e in particolare eBay truffe. Questo è come il Bayrob gang ha ottenuto il loro inizio, seguendo tutorial e trucchi che leggere online su asta frodi.
Come il Bayrob gang ha iniziato a
Agli inizi, il Bayrob hacker focalizzata su eBay e piccoli annunci siti. Il loro tipico modus operandi era quello di pubblicare un annuncio o un’asta, di solito per un prodotto costoso, e aspettare le offerte.
Interessati acquirenti di solito raggiungere, la banda avrebbe sondare il loro interesse, ma aveva sempre una risposta da un altro utente superata per il prodotto-di solito un costoso e molto ricercato auto, anche se non di lusso high-end modelli.
Ma giorni dopo, il Bayrob i membri di raggiungere di nuovo, raccontando l’acquirente interessato che l’offerente iniziale aveva fatto marcia indietro, e la macchina è di nuovo disponibile.
Immagine: Symantec/Norton
×
bayrob-ebay-scam-email.jpg
L’avevano offerta a mettere la macchina su per l’asta di nuovo, e anche inviato nuove immagini della vettura, confezionato in slideshow. Quello che gli utenti non sa è che la presentazione conteneva il Bayrob malware che potrebbero infettare i loro Pc.
Immagine: Symantec
×
bayrob-presentazione.png
Il Bayrob la squadra di inviare un’altra e-mail per i compratori, che ha attirato le potenziali vittime in nuova asta pagine. E ‘ in questa fase che il Bayrob malware potrebbe entrare nel gregge.
Sarebbe intercettare il link e reindirizzare le vittime di una falsa pagina di eBay.
Symantec, che ha contribuito a indagare le operazioni del gruppo, ha detto che in questa prima fase del gruppo evoluzione, la gang di solito mestiere versioni del Bayrob malware su misura per ogni vittima, insieme a falsi eBay pagine, contenente tutto da falso venditore recensioni, falsi rapporti di storia del veicolo, e falso pagine di deposito a garanzia e servizi di consegna.
Falso eBay pagine che il Bayrob malware mostra vittime
Immagine: Symantec/Norton
×
bayrob-ebay-truffa.png
Il gruppo di frode operazione era una spanna sopra tutto il resto, con grande attenzione ai dettagli, e con i messaggi scritti in un inglese perfetto, così non è per avvisare gli acquirenti di una potenziale truffa.
Il passaggio al livello successivo
Ma il gruppo ha venduto più inesistente di auto e di più, questo ha anche permesso loro di espandere le operazioni di là di quello che la maggior parte truffatori di eBay stavano facendo al momento.
Un romeno minaccia analista di intelligence che ha parlato con ZDNet in un’intervista telefonica, ma non vuole che il suo nome condiviso perché non era autorizzato a parlare per la società e dare informazioni ci ha detto il Bayrob gang cominciato a frequentare russo-based forum di hacking in questo momento e imparare dai più avanzato di russo frode di scena, anche iniziando a collaborare con altri gruppi criminali.
E il gruppo imparato un sacco di cose. Il Bayrob gang cominciato a mettere insieme falsi siti web per creare un ecosistema più grande di finte aziende di tutto il loro truffe.
Per esempio, hanno creato più falso per le aziende di autotrasporto, che hanno utilizzato come front-presumibilmente per il trasporto i veicoli acquistati per gli acquirenti.
Il Bayrob gang spesso usano la scusa che questi falsi aziende di autotrasporti che erano in ritardo nella consegna di compro auto, dando il trio di tempo aggiuntivo per il trasferimento di fondi dal Nord America –la loro principale terreno di caccia– per la Romania.
Per il momento la vittima catturato che sono stati truffati, la maggior parte dei soldi inviati al gruppo USA o UE Occidentale conti in banca sarebbe stato ritirato e trasmesso ai membri del gruppo.
Immagine: Symantec
×
bayrob-autotrasporti.png
Mentre oggi la maggior parte dei gruppi di criminalità informatica di utilizzare il denaro mulo servizi pubblicizzati sul forum di hacking, allora, non era così semplice. Il Bayrob banda aveva per reclutare i propri soldi muli.
Hanno usato falsi annunci di lavoro inseriti sul popolare gli annunci di portali e siti web creati per falso imprese. A un certo punto, il gruppo si è così sfacciato che gestivano un falso Yahoo filiale denominata Finanza di Trasferimento, in cui la vittima veniva detto che stavano aiutando percorso i prodotti acquistati su Yahoo siti.
Immagine: Symantec
×
bayrob-soldi-muli.png
Symantec dice money mule è andato attraverso un estenuante processo di selezione che ha coinvolto Google basato su sfondo ricerche di messaggistica istantanea, le interviste e le chiamate VoIP.
Il Bayrob gang di solito pubblicizzare il “lavoro a casa” i lavori per i quali ignari candidati sarebbero tenuti a ritirare i soldi dal gruppo NOI i conti in banca e ri-filo attraverso il proprio account ad altri account.
Money mule sarebbe anche chiesto di convertire il denaro rubato in valute digitali e inviare le valute digitali per Bayrob gang conti.
Un’altra tattica, la nostra fonte ci dice, che ha coinvolto gli Bayrob gang acquisto di prodotti costosi, che hanno spedito a money mule’ l’indirizzo di casa, dove sarebbe inviati all’estero, dove altri soldi muli avrebbe ri-vendere i prodotti, in modo efficace la conversione di qualsiasi truffa/furto fondi in irrintracciabili in contanti.
Ma nonostante le difficoltà di questo gruppo avrebbe messo i soldi muli attraverso, Symantec ha detto che alcuni di questi ignari individui ha truffato e talvolta senza soldi a tutti da aiutare Bayrob riciclare il loro denaro.
“Muli CI hanno dato due opzioni per il pagamento,” Symantec ha detto nel 2016 report. “Si potrebbe tenere il sei per cento dei fondi trasferiti o hanno potuto inviare l’intero importo e poi ricevere un assegno per il 10 per cento del totale. La seconda opzione era una truffa e nessuno che optato per, ricevuto il pagamento dalla gang.”
Da eBay truffe per il funzionamento di un infostealer+keylogger
La nostra fonte ci dice che in tutto il 2011, il gruppo ha cambiato il suo funzionamento in un modo importante. Fu in questo periodo che il gruppo incursioni in russo mondo sotterraneo ha cominciato a influenzare la modalità di pensiero.
I tre sono stati visto l’enorme successo e la vasts somme di denaro operatori di Zeus (Zbot), i trojan bancari stavano facendo.
Quando il gruppo ha iniziato a implementare più funzioni, in Bayrob codice malware, e lentamente iniziato a spostare da per persona eBay truffe all’indiscriminato di distribuzione di malware operazione.
Tutto ad un tratto, invece di un piccolo pezzo di codice che dovrebbe reindirizzare acquirenti eBay per falso pagine, il Bayrob malware iniziato in continua evoluzione e sempre più invadente caratteristiche.
Il gruppo non aveva la forza e la voglia di andare a pieno il trojan bancario percorso, e che, invece, scelgono di aggiungere un tasto di funzione di registrazione che ha registrato vittime’ input da tastiera.
Il malware registro di tutto ciò che l’utente ha digitato e inviato i dati per il malware gang del server, dove verranno analizzati per l’e-banking login, le credenziali per piattaforme di social media e servizi di pagamento online, numero di carta di credito modelli.
Questo era prima che la banca aveva moderne di rilevamento delle frodi funzionalità di autenticazione multi-factor e, quindi, il gruppo avrebbe semplicemente accedere gli utenti’ conti in banca e trasferire tutti i soldi che volevano i loro soldi muli, che per “trattamento” (riciclaggio di denaro).
Hanno ottenuto avidi, e ha mostrato come il loro malware è diventato più complesso. Questo, a sua volta, ha portato a grandi nomi nel settore della sicurezza informatica, industria volgendo il loro sguardo sull’operatività del gruppo.
È stato il 2011 che Symantec e molti altri cyber-sicurezza aziende iniziato a seguire il gruppo più vicino. E avevano quello da seguire.
Fu in questa fase che il gruppo ha iniziato a utilizzare Bayrob per automatizzare le operazioni sulla vittima computer, dove sarebbe la registrazione di nuovi account AOL, che sarebbe stato utilizzato per spam della vittima contatti con messaggi di spam nella speranza di fare nuove vittime. Convertendo ogni hacked vittima in una spam-sputa la macchina, il gruppo di botnet è cresciuta ad una grande dimensione.
Symantec ha detto che, mentre nel 2007 Bayrob è stato visto come un piccolo-tempo di funzionamento con circa 1.000 infetti bot parte della sua botnet, entro il 2014, il gruppo di botnet ha raggiunto le 50.000, molto rispettabile dimensione per qualsiasi operazione malware.
Crypto-mining periodo
Il gruppo, tuttavia, non è stato fatto per espandere l’attività. Intorno a quel tempo, Bitcoin aveva anche esploso sulla scena high-tech, ed è stato ancora redditizia miniera di utilizzo di pianura ol’ i computer.
Il Bayrob gang saltato sul carro aggiungendo mining Bitcoin capacità Bayrob malware, e i profitti cominciarono a venire subito. La loro nuova fonte alternativa di facile-da-fare soldi affascinato il gruppo. Online post di quel periodo hanno mostrato il loro interesse per l’argomento.
Il Bayrob malware attività di distribuzione anche a spillo, con il trojan che si fanno sempre più Pc. Symantec ha le botnet numero picco a 300.000, mentre il Dipartimento di Giustizia (DOJ) mettere un 400,000 figura Bayrob botnet nei documenti del tribunale.
In un pre-IoT botnet era, questo era considerato il massiccio. Accoppiato con la passione per rubare i soldi da clienti di banca della gente, questo ha messo il gruppo di destra vicino alla parte superiore dell’FBI most wanted di hacker elenco.
La caccia per Bayrob
Sia l’FBI e Symantec ha iniziato un gioco del gruppo massiccia operazione. Il Bayrob gang anche ottenuto il vento che c’era qualcosa. Tutto ad un tratto, sicurezza informatica, le imprese sono state la pubblicazione di approfondimenti circa il loro malware. ESET, Comodo, Fortinet, solo per citarne alcuni-Bayrob è indicato anche come Nivdort in alcuni rapporti.
Dopo la metà di un decennio in un completo silenzio e lontano dai riflettori, il gruppo ha iniziato a sentire il calore. Tuttavia, questi non erano regolari “script kiddies” che poneva codice casuale insieme come un week-end side-project.
I membri del gruppo sapevano il fatto loro, soprattutto dal punto di vista informatico (più su che più tardi). Il malware è stato spesso aggiornato, a volte sfacciato messaggi per alcune aziende di sicurezza, e il codice è stato di alto livello, spesso migliorata con funzionalità per evitare il reverse-engineering, facile analisi, o pieno di spazzatura codice per guidare gli analisti di sulla strada sbagliata.
Immagine: Symantec
×
bayrob-symantec.jpg
Inoltre, il gruppo ha anche alcuni dei migliori operativo di sicurezza (OpSec) che i ricercatori di sicurezza hanno visto fino a che punto il malware scena.
Bayrob della comunicazione interna sono sempre criptati, talmente semplice mantenere aggiornati i ricercatori ciechi a ciò che la banda stava facendo, rendendo il sequestro di terze parti, e-mail o XMPP server inutile.
Symantec, che ha giocato un ruolo cruciale nelle indagini, ha detto che il Bayrob gang criptati tutti i messaggi di posta elettronica utilizzando PGP, e cifrati di messaggistica istantanea, chat con un Off-The-Record (OTR) del protocollo.
Il Bayrob malware server erano anche schermato da non uno, ma due proxy strati, che ha permesso i membri del gruppo di connettersi ad esso dalle loro case, senza dare via la loro esatta posizione.
Un primo proxy di rete è stata creata utilizzando i server in Romania, mentre una seconda rete del proxy corse sopra di NOI-server.
“Uno dei nostri più importanti innovazioni è venuto quando abbiamo scoperto un punto debole nell’uso di queste deleghe”, ha detto Symantec nel 2016, dopo il trio estradizione verso gli stati UNITI.
“A causa di questa debolezza, la banda di attività dannose sono stati esposti, che ci permette di osservare passivamente la sua attività sul computer di Symantec protegge.
“La nostra indagine richiesto tempo e pazienza. In un caso, abbiamo osservato che la banda di attività dannose per un anno e mezzo prima di un errore che ha esposto uno dei suoi presunti membri,” l’azienda ha aggiunto.
Un login AOL snafu e una visita a Miami condannato il gruppo
Che errore esposti Miclaus’ identità. A Miclaus e Niculescu è recentemente concluso processo, l’accusa ha rivelato come hanno usato questa info.
Secondo un Cleveland.com report, torna nel 2013, Miclaus, mentre dietro la sua rete di proxy, accidentalmente registrato nel suo personale account AOL invece di uno degli account AOL era il gruppo utilizza per inviare e-mail di spam.
Questo ha permesso agli investigatori di collegamento Miclaus vita reale persona per le operazioni del gruppo, e come possibile membro di una gang. Successive informazioni fornite da Symantec ha aiutato gli investigatori di rintracciare eventuali altri membri, anche se non sono mai stati sicuri del loro coinvolgimento a causa della mancanza di prove.
Che prove atterrato nell’FBI giro per caso, quando uno dei membri del gruppo ha viaggiato per visitare amici.
A Miclaus e Niculescu il processo, l’accusa ha rivelato che, mentre Danet stato presso l’aeroporto di Miami, l’FBI ha emanato un mandato di perquisizione segretamente ricerca Danet di telefono, da cui sono estratti i messaggi scambiati tra i tre Bayrob membri, parlando il loro funzionamento.
I ricercatori degli stati UNITI hanno continuato a raccogliere dati sulle attività del gruppo, fino a luglio 2016, quando si sono sentiti sicuri che era un caso e ha emesso i mandati di arresto internazionali nei nomi dei tre Bayrob membri, su cui la polizia rumena ha agito e ha arrestato i tre a Bucarest.
Sono stati chiamati in giudizio in un tribunale nel dicembre 2016, con Danet essersi dichiarato colpevole lo scorso novembre a fronte di un insormontabile caso in base ai dati ottenuti dal suo telefono. La sua condanna udienza è fissata per il 2 Maggio.
Immagine: acquisizione da Kanal D video
×
bayrob-mugshots.jpg
Danet andato dall’alto programmatore di malware coder
Dei tre, Danet ha anche la più selvaggia retroscena. Nel gruppo, Danet era ragazzo tech; quello che ha scritto il codice malware e gestito la botnet e i suoi server. Senza di lui, il gruppo avrebbe mai raggiunto i livelli che ha raggiunto, e sarebbe probabilmente rimasto un basso livello di eBay truffa del gruppo.
Un laureato di uno di Bucarest top matematica e computer science college, Danet vinto diversi international computer science concorsi, anche terzo nella classifica a un ACM (Association for Computing Machinery) edizione, e di alto rango in molti altri.
Secondo la TV rumena stazione Kanal D, nel 2008, Danet è stato eletto l’allenatore della Romania, Nazionale informatica Squadra, anche se lui era ancora uno studente universitario.
“Ha potuto lavorare ovunque egli voleva che per gli stessi soldi che ha fatto come un hacker,” la nostra fonte ha detto al telefono quando descrive Danet programmazione per competenze. “Ancora non riesco a credere che dopo tutti questi anni.”
Bayrob membro Tiberiu Danet
Immagine: UNIBUC, via Kanal D
×
bayrob-danet.jpg
Danet della formazione spiega perché la sicurezza informatica delle imprese e delle autorità STATUNITENSI avuto un momento difficile rompere Bayrob un guscio esterno.
In effetti, il trio accusa sembra proprio come un rapporto di malware come a un documento legale, contenente un enorme tesoro di tecnicamente ricco di dettagli che molti precedenti per l’hacking, hacker-correlati corte di file di solito non fanno, mostrando ancora una volta il Bayrob avanzate tecniche di trucco.
Uno Bayrob hacker afferma di essere stato accusato ingiustamente
Come per i suoi co-cospiratori, Miclaus e Nicolaescu, sono stati incaricati di Bayrob frodi e il riciclaggio di denaro operazioni, rispettivamente, e molto, molto a che fare con il successo dell’operazione come Danet avuto.
Nonostante la corte-presentato elementi di prova, durante il processo, Nicolaescu ha negato qualsiasi coinvolgimento con il Bayrob regime, sostenendo che solo vissuto con Miclaus, e che era stata erroneamente associato con il gruppo, pur ammettendo che sapeva della sua esistenza.
I due ascolterà le loro frasi su agosto 14, alter quest’anno.
Il DOJ ha detto che durante il gruppo di quasi dieci anni di funzionamento, il trio ha fatto circa $4 milioni di euro (Symantec messo il numero a circa 35 milioni di dollari), corse di oltre 1.000 eBay truffe, e registrato oltre 100.000 account AOL invio di oltre 11 milioni di email di spam.
Correlati malware e attacchi informatici di copertura:
Cybercrime vendita sul mercato pieno di impronte digitali di oltre 60.000 usersTriton hacker di ritorno con un nuovo, covert industriale attackReveton ransomware distributore condannato a sei anni di carcere nel UKSecurity ricercatori scoprono la versione iOS di Esodo Android spywareEmotet dirotta email thread di conversazione per inserire link a malwareUS governo pubblica i dettagli sulla Corea del Nord HOPLIGHT malware Come le Nazioni Unite, aiuta a combattere la criminalità informatica globale TechRepublicApple rimosso popolare applicazione che è stato segretamente rubare la cronologia del browser CNET
Argomenti Correlati:
Di sicurezza, TV
La Gestione Dei Dati
CXO
Centri Dati