Власти США предъявили обвинения в распространении вредоносного ПО гражданину Болгарии, 44-летнему жителю Варны Красимиру Николову (Krasimir Nikolov). Ему приписывают создание относительно нового банковского троянца GozNym — гибрида банкера Gozi и вымогателя с функциями дроппера под названием Nymaim.

Зловред появился в конце 2015 года, но узнали о нем в апреле 2016 года благодаря исследователям IBM X-Force. Вначале банкер атаковал пользователей из США, но позже быстро эволюционировал и нацелился на жителей других стран — в частности, Японии, Канады, Великобритании, Польши, Бразилии и Германии. Только в США от атак GozNym пострадали 22 кредитно-финансовых учреждения.

По версии следствия, Николов использовал зловреда для сбора банковской информации о счетах, чтобы позже проводить мошеннические транзакции. С каждой кражи злоумышленник рассчитывал обогатиться на сотни тысяч долларов: например, он пытался похитить $737 тыс. со счетов мебельной компании в Калифорнии в банке CommerceWest Bank.

Но в сентябре исследователи Cisco Talos обезвредили ботнет, раздававший GozNym. Чуть позже выяснилось, что распространение GozNym было частью деятельности крупнейшей киберпреступной сети Avalanche, а арест Николова стал одной из самых ранних побед правоохранителей, участвовавших в крупной международной операции.

Затем были арестованы 34 человека, совершавших заказные DDoS-атаки при помощи сервиса «проката» DDoS-инструментария, также доступного через Avalanche. Также был арестован администратор сети — украинец Геннадий Капканов. Из-за ошибки в делопроизводстве он был отпущен, а затем пустился в бега.

Николову грозит до 100 лет тюрьмы и штраф в размере $3,5 млн. Он был экстрадирован в США из Болгарии и уже предстал перед судом.

Категории: Вредоносные программы, Кибероборона, Мошенничество