Банковский троян Citadel появился еще в 2011 году, вскоре после утечки исходных кодов банкера Zeus, которые и легли в основу вредоноса. В те годы троян заражал компьютеры под управлением Windows и похищал учетные данные от банковских аккаунтов пользователей. Также вредонос мог шпионить за пострадавшим и брать «в заложники» файлы, чтобы затем потребовать выкуп. Кроме того Citadel одним из первых начал распространяться на закрытых русскоязычных форумах по модели малварь как услуга (malware-as-a-service).
Масштабы проблемы действительно были велики. Так, в начале июня 2013 года Microsoft и ФБР объявили о захвате более 1400 ботнетов Citadel, включая около 4000 доменов, которые использовались для размещения C&C-серверов. Сообщалось, что злоумышленники суммарно обманули около пяти миллионов пользователей, что принесло хакерам почти полмиллиарда долларов.
Автор трояна Citadel Марк Вартанян, также известный как Kolypto, был арестован в Норвегии в 2016 году. В конце года хакера экстрадировали в США, где он ожидал предъявления обвинений и начала судебного процесса. В итоге Вартаняна обвинили в компьютерном мошенничестве, и 20 марта 2017 года, он признал себя виновным. По данным Министерства юстиции США, автору трояна теперь грозит до 10 лет лишения свободы (против исходных 25 лет тюрьмы), а также штраф в размере 250 000 долларов. Приговор будет вынесен в июне текущего года.
Также сторона обвинения предала огласке некоторые интересные цифры. Так, по данным прокуратуры, написанная Вартаняном малварь Citadel заразила более 11 млн компьютеров по всему миру, а суммарный урон, нанесенный банкам, действительно оценивается в 500 млн долларов, как и предполагалось ранее.
«В период между 21 августа 2012 года и 9 января 2013 года, проживая на территории Украины, а также в период с 9 апреля 2014 года по 2 июня 2014 года, находясь в Норвегии, Вартанян был вовлечен в разработку, улучшение, поддержание работы и распространение Citadel. В этот период времени Вартанян загрузил ряд электронных файлов, входивших в состав вредоноса Citadel, его компоненты, обновления и патчи, а также информацию о клиентах, и все это было направлено на улучшение незаконной функциональности Citadel», — гласят судебные документы.