Un ciutadà ucraïnès s’ha declarat culpable als Estats Units del seu paper en dues estratègies de programari maliciós diferents, Zeus i IcedID, entre maig de 2009 i febrer de 2021.

Vyacheslav Igorevich Penchukov (també conegut com a Vyacheslav Igoravich Andreev, pare i tanc), de 37 anys, va ser arrestat per les autoritats suïsses l’octubre de 2022 i extradit als Estats Units l’any passat. El van afegir a la llista de més buscats de l’FBI el 2012.

El Departament de Justícia dels Estats Units (DoJ) va descriure Penchukov com a «líder de dos grups prolífics de programari maliciós» que va infectar milers d’ordinadors amb programari maliciós, cosa que va comportar un programari de segrest i el robatori de milions de dòlars.

Això incloïa el troià bancari Zeus, que facilitava el robatori d’informació del compte bancari, contrasenyes, números d’identificació personal i altres dades necessàries per iniciar sessió als comptes bancaris en línia.

Penchukov i els seus col·legues conspiradors, que formaven part de l’«empresa extorsionadora d’ampli abast» anomenada banda Jabber Zeus, posteriorment es van fer passar com a empleats de les víctimes per iniciar transferències de fons no autoritzades.

També van utilitzar persones que residien als Estats Units i a altres parts del món com a «mules de diners» per rebre els fons per cable, que finalment es van canalitzar a comptes estrangers controlats per Penchukov i els seus col·legues. L’any 2014 es va desmantellar un successor de Zeus.

A l’acusat també se’l culpa de facilitar l’activitat maliciosa mitjançant l’ajuda al lideratge d’atacs amb el programari maliciós IcedID (també conegut com a BokBot) almenys des del novembre de 2018. El programari maliciós és capaç d’actuar com a robatori d’informació i un carregador d’altres càrregues útils, com ara el programari de segrest.

En última instància, com va informar el periodista d’investigació Brian Krebs el 2022, va aconseguir eludir el processament dels investigadors de ciberdelinqüència ucraïnesos durant molts anys a causa de les seves connexions polítiques amb l’antic president ucraïnès Victor Ianukóvitx.

Després de la seva detenció i extradició, Penchukov es va declarar culpable d’un delicte de conspiració per cometre un delicte de pertinença a una organització corrupta i d’extorsió (RICO) pel seu paper de lideratge en el grup Jabber Zeus. També es va declarar culpable d’un càrrec de conspiració per cometre frau electrònic pel seu paper de lideratge en el grup de programari maliciós IcedID.

Penchukov està previst que sigui condemnat el 9 de maig de 2024 i s’enfronta a una pena màxima de 20 anys de presó per cada càrrec.

Tot va començar quan el DoJ va anunciar l’extradició d’un ciutadà ucraïnès de 28 anys dels Països Baixos en relació amb frau, blanqueig de diners i robatori d’identitat agreujat per operar i anunciar, presumptament, un robatori d’informació conegut com Raccoon.

Mark Sokolovsky, que va ser arrestat per les autoritats holandeses el març de 2022, va llogar Raccoon a altres ciberdelinqüents amb un model de programari maliciós com a servei (MaaS) per 200 dòlars al mes. La primera vegada que  va estar disponible va ser l’abril de 2019.

«Aquestes persones van utilitzar diverses estratègies, com ara la pesca de correu electrònic, per instal·lar el programari maliciós als ordinadors de víctimes desprevingudes”, va dir el DoJ.

«Posteriorment, el Raccoon Infostealer va robar dades personals dels ordinadors de les víctimes, incloses les credencials d’inici de sessió, la informació financera i altres registres personals. La informació robada es va utilitzar per cometre delictes financers o es va vendre a tercers en fòrums de ciberdelinqüència».

Segons les estimacions de l’Oficina Federal d’Investigacions (FBI) dels Estats Units, el programari maliciós ha obtingut almenys 50 milions de credencials i formes d’identificació úniques.

L’arrest de Sokolovsky va anar acompanyat d’una retirada coordinada de la infraestructura digital de Raccoon, però des de llavors va sorgir una nova versió del programari de robatori, anomenada RecordBreaker.

Ha estat acusat d’un delicte de conspiració per cometre frau i activitats relacionades en relació amb ordinadors, un de conspiració per cometre frau electrònic, un de conspiració per cometre blanqueig de capitals i un de robatori d’identitat amb agreujants.