Колумбийские полицейские арестовали в столице страны, Боготе гражданина Румынии Михая Йонуца Паунеску (Mihai Ionut Paunescu), которого обвиняют в создании известного банкера Gozi.

В декабре 2012 года Паунеску уже арестовывали в Румынии, и в январе 2013 года власти США предъявили ему обвинение в том, что он сыграл решающую роль в распространении малвари Gozi, которая похищала банковские учетные данные и позволяла своим операторам воровать средства с чужих счетов.

Арест Паунеску в 2012 году

Прокуратура США утверждала, что Паунеску, известный в сети под ником Virus, управлял компанией PowerHost[.]ro, которая предоставляла услуги «пуленепробиваемого» хостинга разработчикам малвари, подчеркнуто не сотрудничала с властями и помогала преступникам защищать свою C&C-инфраструктуру.

Хотя тогда хостинг Паунеску использовали несколько хак-групп, включая создателей Zeus и SpyEye, власти заявляли, что он очень тесно сотрудничал с авторами банковского трояна Gozi. По их словам, Паунеску был одним из трех основных участников группы и нес ответственность за стремительный рост ботнета Gozi, который заразил более 500 000 компьютеров в период с 2007 по 2013 год. Якобы именно после вступления Паунеску в группу в 2010 году был выпущен Gozi 2.0.

Однако, несмотря на все доводы американских властей, прокуратура США не могла добиться экстрадиции подозреваемого из Румынии. Теперь, когда Паунеску задержали в Колумбии, официальные лица США уже заявили, что планируют попытаться еще раз. В случае экстрадиции и признания Паунеску виновным в США ему грозит до 65 лет лишения свободы.

Нужно отметить, что другие авторы Gozi уже понесли наказание. В 2016 году россиянин Никита Кузьмин был приговорен к 37 месяцам тюремного заключения в США, однако на момент вынесения приговора Кузьмин уже провел это время за решеткой в ожидании слушания. В итоге он был освобожден из-под стражи прямо в зале суда, и остался обязан выплатить штраф в размере 6 900 000 долларов, чтобы покрыть причинные трояном убытки.

Также в январе 2016 года на свободу вышел гражданин Латвии Денис Чаловский, создававший веб-инжекты для Gozi. Суд приговорил его к 21 месяцу тюремного заключения, но в ожидании слушания Чаловский тоже отбыл свой срок. Интересно, что власти Латвии отказались экстрадировать его в США из-за слишком сурового наказания, которое могло составить до 67 лет тюремного заключения.

Напомню, что в январе 2013 года исходный код малвари просочился в сеть и теперь лежит в основе многих банковских троянов, включая Gozi Prinimalka, Gozi ISFB, Gozi CRM, Schnitzel Gozi, Goziv3, Neverquest, Rovnix, Vawtrack, Tepfer, Dapato, Ursnif и так далее.

"Наследники" Gozi

Оставить мнение