Drie Roemenen liep een zeer complexe online fraude bediening samen met een enorm botnet malware voor negen jaar, maakte tientallen miljoenen dollars van de v.s., maar hun crime spree is nu voorbij, en alle drie zullen worden op weg naar de gevangenis tegen het einde van augustus van dit jaar.
De drie werden opgepakt eind 2016 na de FBI en Symantec had stilletjes gestalkt hun malware servers voor jaren, geduldig te wachten voor de hoog opgeleide groep om fouten te maken, dat zou genoeg van een breadcrumb trail te volgen, terug naar hun echte identiteit.
Die fouten kwamen in 2015, wanneer de groep een proxy servers begon te lekken details over de groep van het verkeer, uiteindelijk leidende onderzoekers op het juiste pad, en toen later dat jaar een van de hackers maakten een ongelukkige reis naar Miami, waar de FBI in het geheim zoeken zijn telefoon aan de grens.
Een jaar later, roemeense politie werden betrapt appartement deuren in Boekarest, de hoofdstad van Roemenië, en nemen de leden van de groep in hechtenis.
Deze week, twee van deze bende leden werden schuldig bevonden door een federale jury, terwijl een derde had al pleitte schuldig afgelopen November. De drie staan nu geconfronteerd lange gevangenisstraffen op bijna twee dozijn kosten, per stuk.
Wie is de Bayrob bende?
De drie hackers zijn Bogdan Nicolescu (“Masterfraud” of “mf”), Radu Miclaus (“Minolta” of “min”), en Tiberiu Danet (aka “Amightysa” of “amy”).
Afbeelding: Symantec
×
bayrob-gang.jpg
Collectief, ze staan nu bekend als de Bayrob bende, na de naam van Symantec gaf aan malware de groep voor het eerst ontwikkeld in 2007.
Toen de groep begon op hun pad van cybercrime. Net als alle “ondernemers” die ze eerst klein begonnen.
Ze kozen ervoor om dekking van fraude, omdat, op het moment, dat is wat de meeste roemeense hackers waren. In het midden van de jaren 2000, Roemenië is een van de meest wonderbaarlijke landen in de wereld van cybercrime.
Sommige van deze hackers kwam vanuit de bankjes van de vele in het land computer science universiteiten, sommige autodidact op de tientallen hackers en cyber-security forums, dat bezaaid is de roemeense internet op het moment.
De misdaad-du-jour op het moment, en wat Roemenen hackers uiteindelijk werd beroemd, online fraude, en vooral eBay oplichting. Dit is hoe de Bayrob bende kreeg hun start, volgende tutorials, en trucs die ze online lezen over de veiling fraude.
Hoe de Bayrob bende begonnen
In hun begin, de Bayrob hackers gericht op eBay en kleinere advertenties sites. Hun typische modus operandi was van het plaatsen van een advertentie of veiling, meestal voor een duurder product, en wacht op biedingen.
Geïnteresseerde kopers zou bereiken meestal uit de bende zou meter van hun belang, maar ze had altijd een antwoord dat een andere gebruiker overboden voor het product, meestal een dure en zeer gewilde auto, hoewel niet high-end luxe modellen.
Maar de dagen na de Bayrob leden zou opnieuw vertellen van de belangstellende koper dat de oorspronkelijke bieder had een back down, en de auto is weer beschikbaar.
Afbeelding: Symantec/Norton
×
bayrob-ebay-scam-email.jpg
Ze zou bieden om de auto op de veiling weer, en stuurde zelfs nieuwe foto ‘ s van de auto, verpakt in presentaties. Wat de gebruikers niet wist, is dat de slideshow die de Bayrob malware, die zou kunnen infecteren hun Pc ‘ s.
Afbeelding: Symantec
×
bayrob-diavoorstelling.png
De Bayrob team zou dan een e-mail aan de kopers, die gelokt potentiële slachtoffers op nieuwe veiling pagina ‘ s. Het is in dit stadium dat de Bayrob malware zou u de vouw.
Het zou onderscheppen van de link en het doorverwijzen van slachtoffers naar een vervalste eBay-pagina.
Symantec, die hielp met het onderzoeken van de activiteiten van de groep, zei dat in deze eerste fase van de groep, de evolutie, de bende zou meestal ambachtelijke versies van de Bayrob malware op maat voor elk slachtoffer, samen met de valse eBay-pagina ‘s, met alles van nep-verkoper reviews, nep voertuig geschiedenis van rapporten en het nep-pagina’ s van escrow en levering van diensten.
Nep eBay-pagina ‘ s die de Bayrob malware zou toon slachtoffers
Afbeelding: Symantec/Norton
×
bayrob-ebay-scam.png
De groep van fraude bediening was een inkeping boven alles, met veel aandacht voor detail, en met e-mails geschreven in perfect engels, dus het is niet alert kopers van een mogelijke scam.
Doorstromen naar het volgende niveau
Maar als de groep verkocht meer niet-bestaande auto ‘ s en meer geld, dit hielp hen de activiteiten uit te breiden dan wat de meeste eBay-oplichters aan het doen waren op het moment.
Een roemeense threat intelligence analist die sprak met ZDNet in een telefonisch interview, maar niet wil dat zijn naam gedeelde want hij was niet bevoegd om te spreken voor het bedrijf en geven een informatiesysteem vertelde ons het Bayrob bende begon steeds vaker russisch-gebaseerde hacken forums op dit moment, het leren van de meer geavanceerde russische fraude scène, zelfs het starten van de samenwerking met andere criminele groeperingen.
En de groep veel geleerd. De Bayrob bende begonnen met het samen stellen van valse websites te maken van een groter ecosysteem van de nep-bedrijven rond hun oplichting.
Bijvoorbeeld, ze gemaakt van meerdere valse transporteurs, die ze gebruikt als een front om zogenaamd transport gekochte voertuigen aan kopers.
De Bayrob bende zou vaak gebruik maken van het excuus dat deze nep-trucking bedrijven waren te laat in het leveren van de gekochte auto ‘ s, waardoor het trio extra tijd om de overdracht van middelen van Noord-Amerika –hun primaire jachtgebied– naar Roemenië.
Tegen de tijd dat het slachtoffer gevangen op dat ze zijn opgelicht, de meeste van het geld dat naar de groep gezonden in de VS of West-EU bankrekeningen zou zijn ingetrokken en teruggekoppeld naar de leden van de groep.
Afbeelding: Symantec
×
bayrob-trucking.png
Hoewel tegenwoordig de meeste cybercrime groepen gebruik maken van money mule diensten geadverteerd op het hacken van forums, toen was het niet zo eenvoudig. De Bayrob bende had aan rekruut hun eigen money mules.
Ze gebruikt de nep-vacatures geplaatst op de populaire zoekertjes portals en websites gemaakt voor nep-bedrijven. Op een gegeven moment, de groep was zo brutaal dat ze liep een nep Yahoo dochteronderneming genaamd Yahoo Transfers, waar de slachtoffers werden verteld waren ze helpen route producten gekocht op de Yahoo-sites.
Afbeelding: Symantec
×
bayrob-money-mules.png
Symantec zegt money mules ging door een slopende recruitment proces dat Google op basis van achtergrond zoekt, instant messaging interviews, en VoIP-gesprekken.
De Bayrob bende zou meestal reclame “werken aan huis” banen voor die nietsvermoedende kandidaten nodig zou zijn om geld te trekken uit de groep ONS bankrekeningen en re-draad door hun eigen rekening naar andere rekeningen.
Money mules zou ook worden gevraagd om te zetten gestolen geld in de digitale valuta en het verzenden van de digitale valuta Bayrob bende accounts.
Een andere tactiek, onze bron vertelt ons dat de betrokken Bayrob bende het kopen van dure producten, die ze verscheept naar money mules’ home-adressen, waar het zou worden verzonden buitenland –waar andere money mules zou het opnieuw verkopen van de producten, het effectief omzetten van een scam/gestolen geld in niet-traceerbare cash.
Maar ondanks de problemen van deze groep money mules door Symantec zei dat sommige van deze nietsvermoedende personen kreeg weinig en soms geen geld om Bayrob het witwassen van geld.
“Ezels in de VS kregen twee opties voor betaling,” Symantec zei in 2016 rapport. “Ze houden zes procent van de fondsen die zij overgedragen of ze konden het verzenden van het gehele bedrag en later ontvangt u een cheque van 10 procent van het totaal. De laatste optie was een scam en niemand die zich hebben ingeschreven voor het ontvangen van de betaling van de bende.”
Van eBay oplichting aan de exploitatie van een infostealer+keylogger
Onze bron vertelt ons dat rond 2011, de groep veranderde haar werking in een belangrijke manier. Het was in deze tijd dat de groep uitstapjes naar de russische ondergrondse wereld begon invloed te hebben op de groep ‘ s wijze van denken.
De drie waren te zien op het grote succes en de grootte hoeveelheden geld die de exploitanten van de Zeus (Zbot) banking trojan aan het maken waren.
Toen de groep begon met het invoeren van meer functies in de Bayrob malware code, en begon langzaam verschuiven uit per persoon eBay oplichting aan een willekeurige distributie van malware werking.
Alle van een plotselinge, in plaats van een klein stukje code dat zou redirect eBay om nep-pagina ‘ s, de Bayrob malware die gestart zijn in ontwikkeling en steeds meer opdringerige functies.
De groep had niet de mankracht en de wens om uit te gaan van de volledige banking trojan route, en in plaats daarvan, ze kiezen voor het toevoegen van een keystroke logging functie die opgenomen slachtoffers’ invoer van het toetsenbord.
De malware zou meld u alles wat de gebruiker getypt en verzonden de data weer terug naar de malware bende server, waar het zou worden geanalyseerd voor e-banking aanmeldingen, de referenties voor de sociale media platforms en online payment services, een creditcard en een aantal patronen.
Dit was voordat de banken, moderne en fraude detectie functies en multi-factor authenticatie, zodat de groep zou logt u in op de gebruikers’ bankrekeningen en de overdracht van al het geld dat ze wilden hun geld muildieren, voor de “verwerking” van (het witwassen van geld).
Ze kreeg hebzuchtig, en het toonde, als hun malware kregen meer en meer complex. Dit, op zijn beurt, heeft geleid tot de grote namen in de cyber-security-industrie draaien hun blik op de groep.
Het was in 2011 dat Symantec en vele andere cyber-security bedrijven begonnen met het volgen van de groep meer op de voet. En ze had wat te volgen.
Het was in deze fase dat de groep begon met Bayrob voor het automatiseren van bewerkingen op slachtoffer computers, waar zou het registreren van nieuwe AOL-accounts die zij gebruiken om spam van het slachtoffer contacten met spam-berichten in de hoop van het maken van nieuwe slachtoffers. Door het omzetten van elke gehackte slachtoffer in een spam-spuwende machine, de groep botnet groeide uit tot een enorme grootte.
Symantec zegt dat in 2007 Bayrob werd gezien als een kleine operatie met rond de 1000 besmette bots onderdeel van het botnet zijn, in 2014 in de groep botnet bereikt van 50.000 euro, een zeer respectabele grootte voor eventuele malware werking.
De crypto-mijnbouw periode
Echter, de groep was het niet gedaan operaties uit te breiden. Rond die tijd Bitcoin had ook ontplofte op de tech-scene, en het was nog steeds rendabel om mijn gebruik van pure ol’ computers.
De Bayrob bende sprong op de bandwagon door het toevoegen van Bitcoin mining-mogelijkheden om de Bayrob malware, en de winsten begonnen te komen. Hun nieuw gevonden alternatieve bron van gemakkelijk geld te verdienen gefascineerd de groep. Online berichten uit die periode toonden hun interesse in het onderwerp.
De Bayrob malware distributie-activiteit ook met spikes, met de trojan te maken op meer en meer Pc ‘ s. Symantec heeft het botnet ‘ s peak nummer op de 300.000, terwijl de AMERIKAANSE Department of Justice (DOJ) een van 400.000 figuur op de Bayrob botnet in gerechtelijke documenten.
In een pre-IoT botnet tijdperk, dit aantal werd beschouwd als massief. In combinatie met de voorliefde voor het stelen van geld van de bankrekening (en), deze zet de groep in de buurt van de top van de FBI ‘ s most wanted hackers lijst.
De jacht op Bayrob
Zowel de FBI en Symantec begonnen met het spel uit de groep van de enorme operatie. De Bayrob bende kreeg ook de wind die er ‘iets’ was. Alle van een plotselinge, cyber-security bedrijven waren het publiceren van diepgaande rapporten over hun malware. ESET, Comodo, Fortinet, gewoon om een paar te noemen-Bayrob wordt ook wel aangeduid als Nivdort in een aantal rapporten.
Na een half decennium in stilte en uit de schijnwerpers, de groep begon te voelen van de warmte. Echter, deze waren niet uw gewone “script kiddies” dat geknutseld willekeurige code samen een weekend side-project.
De leden van de groep wisten hun spullen, vooral op de IT-kant (daar later meer over). De malware werd vaak bijgewerkt, soms met een aantal brutale berichten naar sommige beveiligingsbedrijven, en de code is top-notch, vaak verbeterd met functies om te voorkomen dat reverse-engineering, gemakkelijk analyse, of doorzeefd met ongewenste code te sturen analisten op het verkeerde pad.
Afbeelding: Symantec
×
bayrob-symantec.jpg
Bovendien, de groep had ook een aantal van de beste operational security (OpSec) dat beveiligingsonderzoekers hebben gezien tot op dat moment op de malware scene.
Bayrob de interne communicatie was altijd gecodeerd, houden onderzoekers blind voor wat de bende aan het doen was, waardoor het beslag van een derde partij e-mail of XMPP server nutteloos.
Symantec, die een cruciale rol gespeeld in het onderzoek, zei de Bayrob bende gecodeerd alle e-mails met behulp van PGP, en gecodeerd alle instant messaging chatsessies met een Off-The-Record (OTR) protocol.
De Bayrob malware servers waren ook afgeschermd door niet één, maar twee proxy lagen, waardoor de leden van de groep om verbinding te maken met het uit hun huizen, zonder het weggeven van hun exacte locatie.
Een eerste proxy-netwerk werd gemaakt met de servers in Roemenië, terwijl een tweede proxy-netwerk liep op de top van de AMERIKAANSE servers.
“Een van onze meest belangrijke doorbraken kwamen toen we ontdekten een zwak punt in hun gebruik van deze proxy’ s,” aldus Symantec in 2016, na de trio ‘ s uitlevering aan de VS.
“Door deze zwakte, de bende kwaadaardige activiteiten werden blootgesteld, maakt ons passief te houden aan haar activiteiten op computers Symantec was de bescherming.
“Ons onderzoek vereist tijd en geduld. In één geval, zagen we de bende kwaadaardige activiteiten voor een jaar en een half voor het maakte een fout die blootgesteld een van de vermoedelijke leden,” voegde het bedrijf.
Een AOL-login snafu en een bezoek aan Miami gedoemd de groep
Die fout blootgesteld Miclaus’ identiteit. Op Miclaus en Niculescu is onlangs gesloten proces, de vervolging gebleken hoe ze gebruikt deze informatie.
Volgens een Cleveland.com rapport, terug in 2013, Miclaus, terwijl achter zijn netwerk van proxy ‘ s, per ongeluk ingelogd zijn persoonlijke AOL-account in plaats van een van de AOL-accounts van de groep werd gebruikt voor het verzenden van spam e-mails.
Zo konden de onderzoekers een link Miclaus’ real-life persona aan de activiteiten van de groep, en als een mogelijk lid van de bende. Later info verstrekt door Symantec geholpen onderzoekers opsporen van mogelijke andere leden, ook al waren ze nooit zeker zijn van hun betrokkenheid te wijten aan een gebrek aan bewijs.
Dat bewijs landde in de FBI op de schoot van een ongeluk, wanneer een van de leden van de groep reisde om vrienden te bezoeken in de VS.
Op Miclaus en Niculescu de proef, de vervolging gebleken dat terwijl Danet werd op de luchthaven van Miami, de FBI afgesloten met een huiszoekingsbevel om in het geheim zoeken Danet van de telefoon, van waar zij gewonnen berichten uitgewisseld tussen de drie Bayrob leden, te praten over hun werking.
AMERIKAANSE onderzoekers bleef het verzamelen van gegevens over de activiteiten van de groep tot juli 2016, wanneer ze ervan overtuigd dat ze een zaak en uitgegeven internationale arrestatiebevelen in de namen van de drie Bayrob leden, die de roemeense politie heeft gehandeld en arresteerde de drie zijn in Boekarest.
Ze werden aangeklaagd in een AMERIKAANSE rechtbank in December 2016, met Danet pleit schuldig vorig jaar November in het gezicht van een onoverkomelijke zaak op basis van de gegevens verkregen van zijn telefoon. Zijn veroordeling hoorzitting is gepland voor 2 Mei.
Afbeelding: het vastleggen van Kanal D video
×
bayrob-mugshots.jpg
Danet ging van top programmeur malware coder
Van de drie, Danet ook heeft de wildste achtergrondverhaal. In de groep, Danet was de tech guy, de ene die schreef de malware code en beheerde het botnet en de servers. Zonder hem zou de groep nog nooit bereikt de hoogten bereikten zij, en zou waarschijnlijk bleef een low-tier eBay scam groep.
Een afgestudeerde van een van Boekarest top wiskunde en computer wetenschappen college, Danet won verschillende internationale informatica wedstrijden, zelfs ranking derde in een ACM (Association for Computing Machinery) editie, en op een hoge ranking in vele anderen.
Volgens de roemeense TV-zender Kanal D, in 2008, Danet verkozen tot coach van de roemeense Nationale Computer Science Team, ook al was hij nog een student aan de universiteit.
“Hij zou kunnen hebben gewerkt waar hij wilde voor hetzelfde geld heeft hij gemaakt als een hacker,” onze bron zei over de telefoon bij het beschrijven van Danet de programmering vaardigheden. “Ik kan nog steeds niet geloven dat het na al die jaren.”
Bayrob lid Tiberiu Danet
Afbeelding: UNIBUC, via Kanal D
×
bayrob-danet.jpg
Danet de training wordt uitgelegd waarom cyber-security bedrijven en de AMERIKAANSE overheid had het zo moeilijk te doorbreken Bayrob de buitenste schil.
In feite, de trio ‘ s aanklacht ziet er net zo veel als een malware-rapport als een juridisch document, met een enorme schat aan technisch-rijke details die vele vorige hacken/hacker-related hof bestanden meestal niet te doen, wederom zien Bayrob geavanceerde technische make-up.
Een Bayrob hacker beweert dat hij ten onrechte beschuldigd
Als voor zijn mede-samenzweerders, Miclaus en Nicolaescu, ze waren verantwoordelijk voor Bayrob de fraude en het witwassen van geld activiteiten, respectievelijk, en had net zo veel te maken met de werking van het succes van Danet had.
Ondanks alle door de rechtbank gepresenteerde bewijs, tijdens de proef, Nicolaescu ontkennen elke betrokkenheid bij de Bayrob regeling, die beweerde dat hij alleen woonde met Miclaus en had ten onrechte geassocieerd met de groep, zij geven toe dat hij wist van haar bestaan.
De twee zullen het horen van hun zinnen op augustus 14, wijzigen van dit jaar.
Het ministerie van justitie zei dat tijdens de groep bijna tien jaar-lang-bediening, het trio maakte ongeveer $4 miljoen (Symantec geplaatst het aantal op rond de $35 miljoen), liep meer dan 1.000 eBay-zwendelpraktijken, en meer dan 100.000 geregistreerde AOL-accounts te verzenden meer dan 11 miljoen spam e-mails.
Gerelateerde malware en cybercriminaliteit dekking:
Cybercrime markt de verkoop van een volledige digitale vingerafdrukken van meer dan 60.000 usersTriton hackers terug met nieuwe, geheime industriële attackReveton ransomware distributeur veroordeeld tot zes jaar in de gevangenis in de UKSecurity onderzoekers ontdekken iOS-versie van Exodus Android spywareEmotet kaapt e-mail conversatie draden om links in te voegen om malwareUS regering publiceert details op Noord-Korea HOPLIGHT malware Hoe de Verenigde Naties helpt bij het bestrijden van de wereldwijde cybercriminaliteit TechRepublicApple verwijderd populaire app die werd stiekem stelen van uw browser geschiedenis CNET
Verwante Onderwerpen:
Beveiliging TV
Data Management
CXO
Datacenters