Das US-Justizministerium hat aktuell einen ukrainischen Staatsangehörigen als „Schlüsseladministratoren“ des Raccoon Stealers angeklagt.
Die US-Bundesanwaltschaft hat den 26-jährigen ukrainischen Staatsangehörigen Mark Sokolovsky angeklagt. Dieser soll einen Malware-Dienst namens Raccoon Stealer betrieben haben, der für den Diebstahl sensibler Daten von mehr als zwei Millionen Personen weltweit verantwortlich war. Sokolovsky sieht sich Anschuldigungen wegen Computerbetrugs und damit zusammenhängender Aktivitäten gegenüber. Ferner wirft man ihm Drahtbetrug, Begehung von Geldwäsche sowie schweren Identitätsdiebstahl vor.
Am Dienstag gab das Justizministerium die Anklage gegen den 26-jährigen Ukrainer Mark Sokolovsky, der online auch unter den Nicknamen raccoonstealer, Photix und black21jack77777 auftrat, wegen seiner Beteiligung am Betrieb von Raccoon Stealer bekannt. Nachdem sie die Computer der Zielpersonen einmal infizierte, ist die Malware anschließend dazu in der Lage, persönliche Informationen zu stehlen. Darunter E-Mail-Adressen, Identifikationsnummern, Bankkonto- und Kryptowährungsinformationen, Passwörter, Kreditkartennummern und andere sensible Daten. Zudem könne die Malware auch Dateien herunterladen und Screenshots auf den Computern der Opfer aufnehmen. Darüber hinaus zeichnet Raccoon Stealer Systeminformationen wie IP-Adressen und Standortdaten auf.
Raccoon Stealer war als MaaS für 200 USD im Monat zu haben
Der Raccoon Stealer wird im Rahmen des MaaS-Modells (Malware-as-a-Service) vertrieben. Im Austausch für 75 USD/Woche oder 200 USD monatlich in Kryptowährung versorgten u.a. Sokolovsky Kunden mit der Malware, digitaler Infrastruktur und technischem Support. Gestohlene Informationen verwendeten die Täter zur Begehung von Finanzkriminalität oder verkauften sie auf Darknet-Marketplaces für digitale Cyberkriminalität gegen Kryptowährung an zahlende Kundschaft.
Die entwendeten Informationen landen nach vollendetem Diebstahl dann auf Servern, die Raccoon-Administratoren kontrollieren. Wenn der Vorgang abgeschlossen ist, löscht sich der Raccoon Stealer selbst vom infizierten Computer.
Malware infizierte Millionen Computer weltweit
Laut Anklageschrift haben Cyberkriminelle diesbezüglich weltweit Millionen Computer mit der Malware infiziert und mehr als zwei Millionen Menschen ihre persönlichen Daten gestohlen. Das FBI hat über 50 Millionen Benutzerdaten identifiziert, die mit Hilfe von Raccoon Infostealer kopiert wurden.
Die Anmeldeinformationen bestehen den Angaben gemäß aus über vier Millionen E-Mail-Adressen, was das FBI dazu veranlasste, eine Website raccoon.ic3[.]gov zu starten, um Benutzern einen Abgleich darüber zu ermöglichen, ob ihre E-Mail-Adressen in den zusammengetragenen Raccoon Stealer-Daten auftauchen. Bei denen sich der Datendiebstahl bestätigt, erhalten eine E-Mail mit zusätzlichen Informationen, Ressourcen und Links an die angegebene Adresse.
„Die Zugangsdaten scheinen über vier Millionen E-Mail-Adressen zu enthalten. Die Vereinigten Staaten glauben nicht, dass sie im Besitz aller von Raccoon Infostealer gestohlenen Daten sind, und führen die Ermittlungen fort.“
US-Anwältin Ashley C. Hoff weist darauf hin:
„Diese Art von Malware nährt das Ökosystem der Cyberkriminalität, sammelt wertvolle Informationen und ermöglicht es Cyberkriminellen, unschuldige Amerikaner und Bürger weltweit zu bestehlen.“
Sokolovsky nahmen Ermittler, laut Gerichtsunterlagen, bereits im März diesen Jahres in Gewahrsam. In einem Porsche Cayenne verließ er damals die Ukraine in Richtung Niederlande. Auf Ersuchen der USA verhafteten niederländische Behörden ihn daraufhin. Die USA streben seine Auslieferung an.
Zeitgleich stellte der Raccoon Infostealer den Betrieb vorübergehend ein. Man behauptete, einer seiner Administratoren sei während des Krieges in der Ukraine gestorben. Sokolovsky hat bei einem niederländischen Gericht Berufung eingelegt, um seine Auslieferung an Texas zum Prozess zu stoppen. Bei einem Schuldspruch drohen ihm bis zu 20 Jahre Haft.
Während die niederländischen Behörden den Angeklagten festnahmen, demontierten das FBI und Partner der Strafverfolgungsbehörden in den Niederlanden und Italien die Infrastruktur von Raccoon Infostealer. Damit schalteten sie die vorhandene Version der Malware offline. Infolge hat man Raccoon Stealer Anfang Juni mit der Veröffentlichung einer neuen, mit C/C++ erstellten, Version neu gestartet. Diese bot dann ein neues Back-End, Front-End sowie neue Datendiebstahlfunktionen.