Zeus parlanchín

Sindicato de cibercriminales de 2009 a 2010

Jabber Zeus fue un sindicato de cibercriminales y un caballo de Troya asociado creado y dirigido por piratas informáticos y lavadores de dinero con sede en Rusia, el Reino Unido y Ucrania. ^[a] Fue la segunda iteración principal de la empresa de malware y crimen organizado Zeus , sucediendo a Zeus y precediendo a Gameover Zeus .

Jabber Zeus estuvo operativo desde aproximadamente 2009 hasta 2010. El grupo, compuesto por nueve miembros principales, enviaba correos electrónicos spam que contenían el troyano a pequeñas empresas. El troyano enviaba la información bancaria de la víctima, incluidas las contraseñas de un solo uso, en tiempo real, utilizando el protocolo Jabber , a los delincuentes, quienes usaban la información para vaciar la cuenta bancaria de la víctima de fondos y blanquearlos utilizando una red masiva de mulas de dinero , donde finalmente llegaría al grupo. El malware también puede haber sido utilizado para espionaje. En septiembre de 2010, el troyano se actualizó para incluir varias otras capacidades diseñadas para mejorar su seguridad.

Entre el 30 de septiembre y el 1 de octubre de 2010, varios miembros clave y mulas de dinero para el grupo fueron arrestados en una operación conjunta entre la Oficina Federal de Investigaciones , el Servicio Federal de Seguridad de Rusia , el Servicio de Seguridad de Ucrania y agencias policiales en el Reino Unido y los Países Bajos. Aunque las personas arrestadas en Ucrania fueron liberadas rápidamente debido a las conexiones gubernamentales del miembro principal Vyacheslav Penchukov y no se arrestó a ningún conspirador en Rusia, el grupo fue efectivamente clausurado por los arrestos. Un año después, en septiembre de 2011, el grupo y el malware resurgirían como Gameover Zeus.

Organización y actividad

Miembros principales

Una acusación formal presentada en el Distrito de Nebraska el 22 de agosto de 2012 enumeraba a nueve miembros principales de Jabber Zeus:

• Evgeniy Bogachev, alias "lucky12345", ^[b] residente en Rusia. Bogachev fue el desarrollador principal del malware Zeus de Jabber y del kit de creación del troyano Zeus que lo precedió. ^[10]
• Vyacheslav Penchukov, alias "tank" y "padre", residente en Ucrania. Penchukov coordinaba el movimiento de credenciales bancarias robadas, así como la red de mulas de dinero . ^[11] Fue la primera persona a la que el malware notificó de una infección y el único miembro de la tripulación que se comunicó con Bogachev. ^[12]
• Yevhen Kulibaba, alias "jonni", residente en el Reino Unido. Kulibaba era el supuesto cabecilla del grupo, ^{[13] [14] pero} Brian Krebs y Patrick O'Neill lo niegan , afirmando que Penchukov o Bogachev, respectivamente, eran los líderes. ^{[c] [12]}
• Yuriy Konovalenko, alias "jtk0", residente en el Reino Unido. Konovalenko fue la mano derecha de Kulibaba en el Reino Unido ^[13], proporcionándole datos bancarios de las víctimas y de las mulas de dinero, y recopilando datos de sus cómplices ^{[11] .}
• Ivan Klepikov, alias "petr0vich" y "nowhere", residente en Ucrania. Klepikov era el administrador de sistemas de la tripulación. ^[11]
• Alexey Bron, alias "thehead", residente en Ucrania. Bron gestionaba la transferencia de fondos mediante el servicio de pago en línea WebMoney . ^[11]
• Alexey Tikonov, alias "kusanagi", residente en Rusia. Tikonov era un codificador de la empresa criminal. ^[11]
• Maksim Yakubets , alias "aqua", ^[d] residente en Rusia. Yakubets manejaba y reclutaba mulas de dinero para el grupo. ^{[12] [17]}
• "mricq", nombre real desconocido, residente en Ucrania. "mricq" era un codificador de la tripulación. ^[18]

La acusación formal acusó a los miembros principales de fraude bancario y informático , crimen organizado y robo de identidad. ^{[1] [19]}

Modus operandiy el malware Jabber Zeus

El equipo de Jabber Zeus operaba distribuyendo, generalmente a través de correos electrónicos spam , ^[20] e instalando el malware homónimo en las computadoras de las víctimas, para luego usarlo para obtener acceso a sus cuentas bancarias. El dinero era robado de las cuentas y transferido a una red de mulas de dinero que blanqueaban el dinero antes de que finalmente llegara a los criminales. Las mulas de dinero generalmente no sabían que estaban manejando finanzas robadas. ^[17] El FBI afirmó en 2010 que existían más de 3.500 de esas mulas de dinero. ^[21] El equipo de Jabber Zeus apuntaba principalmente a pequeñas empresas. ^[15] En 2010, los investigadores estimaron que, como mínimo, los criminales habían robado 70 millones de dólares, y la cifra real era mucho mayor. ^[7]

La actividad de la tripulación se remonta al menos a 2009. La versión inicial del malware Jabber Zeus se creó a partir del kit estándar Zeus, entonces conocido como Zeus 2. ^[22] El malware se distinguía principalmente de otras variantes de Zeus por una modificación que le permitía enviar las credenciales bancarias de las víctimas, en particular contraseñas de un solo uso, a los delincuentes tan pronto como la víctima iniciaba sesión. El mensaje se enviaba a través del protocolo Jabber , ^{[23] [24]} de ahí el nombre "Jabber Zeus". ^[10] En septiembre de 2010, Bogachev proporcionó a la tripulación una versión especializada del malware, conocida como ZeuS 2.1.0.X. ^[25] Esta contenía otras capacidades únicas, incluido un algoritmo de generación de dominios para evitar intentos de apagado, compatibilidad con expresiones regulares y la capacidad de infectar archivos . ^[26] El malware estaba protegido adicionalmente por una clave de cifrado que requería que Penchukov comprara cada copia individualmente a un costo de $ 10,000 por copia. ^[7]

Las máquinas infectadas, al igual que otras variantes de Zeus, formaban una botnet a la que el grupo podía acceder y controlar. ^[27] El análisis de varias variantes de Zeus, incluido Jabber Zeus, descubrió intentos de esta botnet de buscar información secreta y confidencial en Georgia, Turquía y Ucrania, lo que llevó a sospechar que el malware también se usaba para espionaje en nombre de Rusia. ^[28]

El 11 de septiembre de 2011, el malware Jabber Zeus se actualizó a Gameover Zeus , la última variante conocida de Zeus desarrollada por Bogachev. ^[29]

Conflicto con Brian Krebs

El 2 de julio de 2009, el Washington Post publicó una historia de Brian Krebs que describía el robo de 415.000 dólares por parte de la tripulación de Jabber Zeus al gobierno del condado de Bullitt, Kentucky . ^[30] Poco después, Krebs fue contactado por un individuo que había pirateado el servidor de mensajería instantánea Jabber de la tripulación y pudo leer chats privados entre ellos. Los miembros del sindicato también estaban al tanto de la historia del Washington Post y expresaron su frustración por el hecho de que sus hazañas ahora fueran información pública; en una charla entre Penchukov y Bogachev, el primero afirmó que "ahora todo Estados Unidos sabe sobre Zeus", a lo que Bogachev estuvo de acuerdo: "Está jodido". Los miembros de la tripulación se mantendrían al día con los escritos de Krebs a partir de entonces. ^[10]

Krebs también obtuvo acceso a los mensajes enviados a las mulas de dinero por el grupo, explotando una falla de seguridad en los sitios web de reclutamiento de mulas de dinero que permitía a un raspador automático capturar mensajes enviados a cualquier otro usuario; los usuarios podían, después de iniciar sesión, leer los mensajes de otros usuarios cambiando un número en la URL. ^[17] Con este acceso, pudo prevenir y escribir sobre varios intentos de violación por parte del grupo contactando a las empresas víctimas. El 13 de diciembre de 2009, el grupo descubrió que Krebs había sido despedido del Washington Post antes de que esta información se hiciera pública, y celebraron el evento, con un reclutador de mulas de dinero esperando una eventual confirmación del rumor: "¡Buenas noticias esperadas exactamente para el Año Nuevo!" ^[15]

Investigación

Operación Trident Breach

En septiembre de 2009, el FBI obtuvo una orden de allanamiento para un servidor en Nueva York que se sospechaba que estaba vinculado a la empresa Jabber Zeus. Se descubrió que el servidor contenía los chats de la tripulación, que el FBI comenzó a monitorear. ^[7] Poco después, comenzaron a compartir información de los chats con el Servicio Federal de Seguridad de Rusia (FSB) y el Servicio de Seguridad de Ucrania (SBU). ^[12] Penchukov fue identificado en esa época; había enviado un mensaje el 22 de julio que contenía el nombre y el peso de su hija recién nacida, que se correlacionaba con los registros de nacimiento ucranianos. ^[15] En abril de 2010, la tripulación se dio cuenta de que estaban siendo monitoreados, posiblemente avisados ​​por un agente corrupto del SBU, pero continuaron enviando mensajes utilizando el servidor comprometido durante un tiempo. ^[12]

En 2010, el FBI organizó la Operación Trident Breach, una colaboración entre el FBI, el FSB, el SBU y agencias policiales del Reino Unido y los Países Bajos, para capturar a los líderes del grupo Jabber Zeus. La operación se coordinó principalmente en junio de 2010, en una casa propiedad del director del SBU, Valeriy Khoroshkovskyi , y las agencias planeaban arrestar a los sospechosos el 29 de septiembre de ese año. Sin embargo, la operación se retrasó varias veces, finalmente hasta el 1 de octubre, a pedido del SBU, momento en el que habían perdido el rastro de Penchukov. ^[12] Penchukov había sido avisado sobre la próxima operación y se había escondido. ^[15]

Entre el 30 de septiembre y el 1 de octubre de 2010, se ejecutó la Operación Trident Breach, que resultó en el arresto de 39 ciudadanos estadounidenses, 20 residentes del Reino Unido y cinco ucranianos. ^[31] No hubo arrestos en Rusia. ^[12] La operación había comenzado un día antes en respuesta a informes de que Penchukov y otros sospechosos habían sido avisados. ^[21] Entre los arrestados estaban Kulibaba y Konovalenko, que fueron condenados en el Reino Unido en 2011, ^[32] luego extraditados a los EE. UU. en 2014, ^[11] y Klepikov, que no fue extraditado debido a la prohibición de la constitución ucraniana de extraditar ciudadanos y finalmente liberado junto con los otros ucranianos arrestados. Penchukov, aprovechando sus conexiones con el presidente ucraniano Viktor Yanukovych y las autoridades locales de su ciudad natal de Donetsk , logró que se retiraran los cargos en su contra. ^{[12] [10]} A pesar de la fuga de varios miembros clave, el sindicato fue desbaratado y efectivamente clausurado por la operación. ^[7]

Identificación de Bogachev y Yakubets.

Las identidades de Bogachev y Yakubets no se conocieron públicamente hasta después de que Jabber Zeus se disolviera y se volviera a formar Gameover Zeus a raíz de los arrestos; solo eran conocidos por sus seudónimos, "lucky12345" y "aqua", respectivamente, como miembros del grupo. Bogachev también era conocido como "Slavik", aunque no fue identificado como tal en la acusación de 2012. ^[33]

Bogachev fue identificado en 2014, después de que una fuente señalara a los investigadores que trabajaban para Fox-IT, una empresa de investigación de seguridad, una de sus direcciones de correo electrónico. Aunque Bogachev había utilizado una VPN para administrar la botnet Gameover Zeus, había utilizado la misma VPN para acceder a sus cuentas personales, lo que permitió a los investigadores, que previamente habían penetrado en los servidores de comando de la botnet, vincular el sistema a Bogachev. ^{[7] [34]}

Yakubets fue identificado formalmente en una denuncia penal el 14 de noviembre de 2019, con base en evidencia recolectada entre 2010 y 2018. Un intento de determinar quién alquiló el servidor Jabber que el FBI vulneró en 2009 no descubrió pistas, ya que el servidor se alquiló con un nombre falso. ^[23] El 9 de julio de 2010, las autoridades estadounidenses enviaron una solicitud de asistencia legal mutua a Rusia para obtener información sobre "aqua"; las autoridades rusas respondieron con evidencia de que "aqua" era Yakubets, obtenida de su cuenta de correo electrónico, que usaba el seudónimo "aqua", pero contenía correos electrónicos que lo identificaban por su nombre real, así como su dirección. El 25 de diciembre de 2012, una mujer que se encontró viviendo en la dirección de Yakubets identificó a su cónyuge como Yakubets en una solicitud de visa e incluyó a un niño que viajaba con ella como su hijo. El nombre del niño fue encontrado en registros de chat interceptados entre Yakubets y Penchukov de 2009. El 19 de marzo de 2018, Microsoft, siguiendo una orden judicial, proporcionó registros que conectaban la cuenta de Skype de Yakubets y su correo electrónico. El 12 de agosto de 2018, la ahora ex esposa de Yakubets y su hijo solicitaron otra visa, y nuevamente incluyeron a Yakubets como el ex esposo de la mujer. ^{[35] [36]}

Detención de Penchukov

Penchukov fue arrestado en Ginebra , Suiza, el 23 de octubre de 2022, y su extradición a los Estados Unidos fue concedida el 15 de noviembre. El arresto de Penchukov fue dado por el escritor de CNN Sean Lyngaas y Krebs como un ejemplo de las oportunidades para arrestar a los ciberdelincuentes que se abrieron con la invasión rusa de Ucrania mientras huyen del país por su propia seguridad. ^{[37] [38]}

Véase también

• Lista de delincuentes informáticos
• Cronología de los virus y gusanos informáticos
• Dridex , una conspiración de malware independiente que involucra a Yakubets
• Torpig , otra botnet que se propaga a través de caballos de Troya
• Sombrero negro (seguridad informática) , término análogo a "ciberdelincuentes"

Notas y referencias

Notas

1. El nombre del sindicato también se traduce como Jabberzeus , ^[1] JabberZeus , ^[2] Jabber ZeuS , ^[3] y JabberZeuS , ^[4] pero sus miembros se referían a él como el "club de negocios". ^[5] El malware era conocido también como Licat , Murofet y ZeuS 2.1.0.X , ^[6] el último de los cuales a menudo se abreviaba como Zeus 2.1 . ^{[7] [8]}
2. Se lo menciona como "John Doe #1" en la acusación formal de 2012. Se lo relacionó formalmente con el apodo "lucky12345" en otra acusación formal emitida el 30 de mayo de 2014. ^[9]
3. Krebs se había referido a Kulibaba como el líder de la tripulación en 2015, ^[10] pero en 2022 había nombrado a Penchukov como su líder. ^[15]
4. En la acusación formal de 2012 se lo menciona como "John Doe #2". Se lo relacionó formalmente con el apodo "aqua" en una denuncia penal emitida el 14 de noviembre de 2019. ^[16]

Referencias

1. "Evolución del grupo de amenazas GOLD EVERGREEN". Secureworks . 17 de mayo de 2017. Archivado desde el original el 27 de enero de 2023 . Consultado el 5 de mayo de 2023 .
2. Stahie, Silviu (18 de noviembre de 2022). "Arrestan en Suiza al presunto líder de la banda criminal JabberZeus". Blog de Bitdefender . Archivado desde el original el 5 de mayo de 2023. Consultado el 5 de mayo de 2023 .
3. Danchev, Dancho (2 de junio de 2021). «Perfil de la empresa de botnets fraudulentos «Jabber ZeuS»: un análisis». API WhoisXML . Archivado desde el original el 5 de diciembre de 2022 . Consultado el 5 de mayo de 2023 .
4. Bederna, Zsolt; Szádeczky, Tamás (2021). "Efectos de las botnets: un enfoque humano-organizativo". Trimestral de Seguridad y Defensa . 35 (3): 35. doi : 10.35467/sdq/138588 .
5. Sandee 2015, pág. 6.
6. Sandee 2015, pág. 4.
7. Graff, Garrett M. (21 de marzo de 2017). "Dentro de la búsqueda del hacker más notorio de Rusia". WIRED . Archivado desde el original el 23 de abril de 2023. Consultado el 7 de mayo de 2023 .
8. Peterson, Sandee y Werner 2015, 7:42–7:47.
9. "EVGENIY MIKHAILOVICH BOGACHEV". FBI.gov . Oficina Federal de Investigaciones . 27 de mayo de 2014. Archivado desde el original el 23 de abril de 2023 . Consultado el 5 de mayo de 2023 .
10. Krebs, Brian (25 de febrero de 2015). «FBI: recompensa de 3 millones de dólares por el autor del troyano ZeuS». Krebs on Security . Archivado desde el original el 7 de abril de 2023. Consultado el 5 de mayo de 2023 .
11. "Nueve acusados ​​de conspiración para robar millones de dólares utilizando el malware "Zeus"". Justice.gov . Departamento de Justicia . 6 de octubre de 2011. Archivado desde el original el 22 de abril de 2023 . Consultado el 7 de mayo de 2023 .
12. O'Neill, Patrick Howell (8 de julio de 2021). "Dentro de la investigación fallida sobre delitos cibernéticos del FBI, Rusia y Ucrania". MIT Technology Review . Archivado desde el original el 27 de abril de 2023. Consultado el 7 de mayo de 2023 .
13. "Los cabecillas de una estafa bancaria 'troyana' en línea valorada en 3 millones de libras fueron encarcelados". BBC . 1 de noviembre de 2011. Archivado desde el original el 11 de julio de 2021 . Consultado el 7 de mayo de 2023 .
14. Dunn, John E. (6 de octubre de 2011). "Zeus Trojan Gang Member Gets Jail for Huge UK Fraud" (Miembro de la banda de troyanos Zeus va a la cárcel por un enorme fraude en el Reino Unido). CSO Online . Archivado desde el original el 7 de mayo de 2023. Consultado el 7 de mayo de 2023 .
15. Krebs, Brian (15 de noviembre de 2022). "El principal sospechoso de la botnet Zeus, un "tanque", fue arrestado en Ginebra". Krebs on Security . Archivado desde el original el 10 de abril de 2023 . Consultado el 7 de mayo de 2023 .
16. "MAKSIM VIKTOROVICH YAKUBETS". FBI.gov . Oficina Federal de Investigaciones . 29 de abril de 2019. Archivado desde el original el 17 de marzo de 2023 . Consultado el 5 de mayo de 2023 .
17. Krebs, Brian (16 de diciembre de 2019). "Dentro de 'Evil Corp', una amenaza cibernética de 100 millones de dólares". Krebs on Security . Archivado desde el original el 23 de marzo de 2023. Consultado el 6 de mayo de 2023 .
18. D. Neb 2019, pág. 3.
19. Estados Unidos v. Penchukov et al. (acusación formal) , 4:11CR 3074, págs. 1–15 ( D. Neb. 22 de agosto de 2012).
20. Peterson, Sandee y Werner 2015, 2:45–2:53.
21. Krebs, Brian (2 de octubre de 2010). "Ucrania detiene a 5 personas vinculadas a robos de 70 millones de dólares a bancos estadounidenses". Krebs on Security . Archivado desde el original el 6 de marzo de 2023. Consultado el 7 de mayo de 2023 .
22. Peterson, Sandee y Werner 2015, 6:09–7:47.
23. Gruber y col. 2022, pág. 9.
24. Al-Bataineh, Areej; White, Gregory (2012). "Análisis y detección de exfiltración maliciosa de datos en el tráfico web". 2012 7th International Conference on Malicious and Unwanted Software . Conferencia Internacional sobre Software Malicioso y No Deseado. Fajardo, Puerto Rico: IEEE . p. 27. doi :10.1109/MALWARE.2012.6461004.
25. Peterson, Sandee y Werner 2015, 6:09-7:47.
26. Peterson, Sandee y Werner 2015, 7:47–8:13.
27. Sandee 2015, pág. 4-5.
28. Sandee 2015, págs. 21-22.
29. Peterson, Sandee y Werner 2015, 8:19–8:33.
30. Krebs, Brian (2 de julio de 2009). «PC Invader le cuesta al condado de Ky. 415.000 dólares». Washington Post . Archivado desde el original el 18 de septiembre de 2020. Consultado el 7 de mayo de 2023 .
31. Frieden, Terry (1 de octubre de 2010). «El FBI anuncia arrestos por robo cibernético de 70 millones de dólares». CNN . Archivado desde el original el 3 de noviembre de 2022. Consultado el 7 de mayo de 2023 .
32. Krebs, Brian (4 de octubre de 2011). «ZeuS Trojan Gang Faces Justice». Archivado desde el original el 7 de febrero de 2023. Consultado el 7 de mayo de 2023 .
33. Stahl, Lesley (21 de abril de 2019). «La creciente colaboración entre el gobierno de Rusia y los cibercriminales». CBS . Archivado desde el original el 18 de enero de 2023. Consultado el 7 de mayo de 2023 .
34. Peterson, Sandee y Werner 2015, 41:06–41:31.
35. D. Neb 2019, pág. 26-30.
36. Gruber y col. 2022, pág. 9-10.
37. Lyngaas, Sean (16 de noviembre de 2022). «Suiza arresta a un presunto cibercriminal ucraniano perseguido por el FBI durante una década». CNN . Archivado desde el original el 6 de mayo de 2023. Consultado el 6 de mayo de 2023 .
38. Krebs, Brian (4 de mayo de 2023). «$10 millones son tuyos si logras que este tipo se vaya de Rusia». Krebs on Security . Archivado desde el original el 6 de mayo de 2023. Consultado el 7 de mayo de 2023 .

Fuentes generales

• Gruber, Jan; Voight, Lena L.; Benenson, Zinaida; Freiling, Felix C. (septiembre de 2022). "Fundamentos de la cibercriminalística: desde modelos de procesos generales hasta concreciones específicas de casos en la investigación de delitos cibernéticos". Forensic Science International: Investigación digital . 43 (Suplemento). doi : 10.1016/j.fsidi.2022.301438 .
• Peterson, Elliott; Sandee, Michael; Werner, Tillmann (5 de agosto de 2015). GameOver Zeus: Badguys And Backends (Discurso). Black Hat Briefings . Las Vegas. Archivado desde el original el 31 de marzo de 2023. Consultado el 7 de mayo de 2023 .
• Sandee, Michael (5 de agosto de 2015). “GameOver ZeuS: antecedentes de los villanos y los backends (PDF) . Black Hat Briefings . Las Vegas.
• Estados Unidos v. Yakubets. (queja) , 4:19MJ3142 ( D. Neb. 14 de noviembre de 2019).

Enlaces externos

• Cartel de búsqueda de Klepikov, Penchukov y Bron
• El equipo de JabberZeuS habla sobre la ciberseguridad en AT&T (también conocido como AlienVault)
• Acusación contra Yakubets por sus acciones en beneficio de la tripulación de Jabber Zeus, así como otras conspiraciones cibercriminales