Ontwikkelaar BlackShades-malware krijgt 5 jaar cel

Een Zweedse man is in de Verenigde Staten tot bijna vijf jaar cel veroordeeld omdat hij de remote access trojan BlackShades ontwikkelde en in de verkoop bracht. Volgens de aanklagers heeft de veroordeelde meer dan 350.000 dollar winst gemaakt met zijn activiteiten.

De 25-jarige Zweed Alex Yücel, die in 2013 in Moldavië werd opgepakt en uitgeleverd, kreeg van de rechter een celstraf opgelegd van 57 maanden, zo schrijft The Register. Ook moet hij een boete van 200.000 dollar betalen. Yücel had in februari al schuld bekend aan het verspreiden van de BlackShades-trojan. De man gaf toe dat hij mede-auteur was van de rat-malware. Hij verkocht de software voor 40 dollar per licentie aan ruim zesduizend klanten in meer dan honderd landen.

Een medeverdachte, tevens auteur van de malware, wacht nog op een veroordeling. Twee medeplichtigen werden al eerder tot een jaar cel veroordeeld en een BlackShades-gebruiker die met behulp van de malware bankrekeningen plunderde van vierhonderd personen kreeg twee jaar cel.

BlackShades is een remote administration tool waarmee aanvallers wachtwoorden kunnen stelen en bestanden kunnen bemachtigen. Ook kan de malware bestanden versleutelen, waardoor BlackShades tevens werd ingezet als ransomware. Volgens schattingen zou de malware wereldwijd meer dan een half miljoen computers hebben besmet.

In Nederland verrichtte de politie in mei vorig jaar op 34 adressen huiszoeking. Daarbij ging het om mensen die de malware hadden gekocht en actief gebruikten. In 2013 werd een jongen opgepakt die BlackShades zou hebben ingezet om meer dan tweeduizend computers te hacken en naaktfoto's buit te maken.

BlackShades

Door Dimitri Reijerman

Redacteur

25-06-2015 • 19:33

54

Reacties (54)

54
48
35
1
0
0
Wijzig sortering
Zelf in volgens mij 2011 software van BlackShades gekocht, ging destijds om een password recovery tool en om "fusion" (een soort van light-client zonder alle onzin features). Vorig jaar huiszoeking gehad waarin letterlijk elk laatje open is getrokken, alle laptop, computers, usbs en met foto's gevulde disks mee genomen.

Paar maanden later kreeg ik na verhoor alles weer terug met het bericht dat ik inderdaad geen enkel strafbaar feit heb gepleegd en verder heeft het verhaal geen vervolg.

Ik weet niet meer waar ik naar toe wou met deze reactie maar toch goed om even te delen, heb al lang spijt dat ik destijds met die software (weliswaar geheel legaal binnen eigen domein, iets wat op mijn destijds 15 jarige leeftijd een interessante ontwikkeling was) ben gaan experimenteren.

Edit: ik wil even kort toevoegen, in het artikel staat "Daarbij ging het om mensen die de malware hadden gekocht en actief gebruikten." Terwijl ik de software een week na de aankoop van jaren terug niet meer aangeraakt heb: iets wat team high tech crime kan bevestigen.

[Reactie gewijzigd door Sneek op 27 juli 2024 09:18]

Als je er over nadenkt is het toch raar dat de politie zoiets zomaar kan/mag doen, ze hadden waarschijnlijk alleen maar bewijs dat je de tool ooit had aangeschaft.
Betekend dit dat iedereen die een breekijzer koopt ook een huiszoeking mag verwachten omdat breekijzers ook met regelmaat voor criminele doeleinden worden gebruikt?

Ook fijn dat je pas een paar maanden later je spullen terug krijgt, ik neem aan dat je in de tussentijd al een nieuwe pc/laptop +telefoon hebt aangeschaft. Wie gaat daar voor betalen?
Tja. De politie mag in Nederland erg veel, en er is nauwelijks controle op, laat staan sancties. Ik kan niet zeggen dat dit verhaal me nu heel erg verbaast.
het is ook volkomen terecht dat de politie dit mag. Anders zouden ze net zo goed geen onderzoek hoeven doen.
Uit de huiszoeking kreeg ik de indruk dat er al veel onderzoek gedaan was, ik zag pagina's met logs voorbijkomen (niet aan mij getoond maar er werd druk mee aan de gang gegaan), ik mocht bij het verhoor logs teruglezen van telefoongesprekken die ik met mijn moeder heb gehad (die werkelijk nergens over gingen) en er werden naast mails ook gebruikte wachtwoorden getoond. imo wat veel onderzoek wanneer de enige aanwijzing een log is dat ik (ooit) over het programma (heb) beschikt.

Het feit dat er al jaren geen traffic van mij naar de servers van BlackShades is gegaan (of naar andere vreemde servers/VPN's) zou voldoende moeten zijn.

Politie en Team High Tech Crime is overigens wel professioneel gebleven zowel bij de huisdoorzoeking als bij het verhoor. Het was duidelijk dat ze niet op de man uit waren maar gewoon deze malware willen voorkomen.
met mij antwoord op svenslootweg doel ik niet specifiek op jouw hoor, Ik vind dat de politie eigenlijk te weinig mag, ze hebben heel veel beperkingen en het is zeker niet zo dat ze te veel mogen. Jij een van de duizenden, kennelijk zagen ze bij jou wel een reden om verder onderzoek te doen. misschien iets uit het verleden. of misschien dat ene mailtje.
Eens, ik probeer ze ook niet zwart te maken en geef expliciet aan dat het een professioneel team is met een duidelijk doel. Een huiszoeking is wel ingrijpender dan het er op papier uit ziet. Los van angst voor vervolging voor een destijds onduidelijke overtreding sliep ik een stuk minder wetende dat er zo'n groot team in huis heeft gezocht.
Heb een nieuwe SSD gekocht en in m'n PC gezet, SSD die ik van de politie heb gekregen (durf/)wil ik niet meer in gebruik nemen.
Vervelend dat dit je overkomen is, ik zou me persoonlijk echt helemaal de pleuris schikken mocht dit bij mij gebeuren. Zeker omdat ik ook wel het type ben die met zulke zooi zou experimenteren. Niet voor naaktfoto's, bankgegevens etc. Maar simpelweg omdat ik het wel interessant vind om te zien hoe het nu eigenlijk werkt. Ik ben vaak bezig met programma's die vanaf afstand informatie opvragen (Custom server API, http websites verwerken in een programma) en dan is het altijd wel leuk om te zien hoe de 'grote jongens' het doen.

Klein vraagje, maar had je op de ingenomen apparatuur destijds andere 'illegale' dingen zoals gedownloade films? Vraag me namelijk wel af of ze het recht hebben om daar op verder te gaan al zijn ze daar helemaal niet voor gekomen.
Gedownloadde (copyrighted) film/muziek materiaal valt in Nederland onder het civiel recht.
Tenzij jij een kopstuk bent van een groep die als eerste releases online slingert, zal de politie je hier niet op afstraffen denk ik. (Uit mijn hoofd is dit ook een richtlijn van het OM).
Ja, honderden gedownloade films, een paar gedownloade games en wat gedownloade Adobe software. Was niet de reden waarvoor ze kwamen dus geen probleem. Inmiddels al die zooi er ook af gegooid zodat daar nooit op terug kan worden gekomen.
Dus BlackShades maakt(e) meerdere 'tooltjes' dan alleen deze malware. Vraag ik mij af hoe je ze hebt gevonden en nog meer: hoe de sterke arm der wet jou op het spoor is gekomen!
Bewijs was er duidelijk: een mail (die ik zelf nog terug kon vinden) verstuurd vanaf de server van BlackShades.
De 25-jarige Zweed Alex Yücel, die in 2013 in Moldavië werd opgepakt en uitgeleverd,
Wat moet een Zweed in een niet-Schengen/EU-land als Moldavië?
Dit riekt naar dezelfde tactiek als hoe die Nederlander naar Roemenië is gelokt, in een CIA-gevangenis werd gezet en werd uitgeleverd aan de USA.

Overigs: hoe zijn VNC en TeamViewer anders dan BlackShades? Bij het laatste wordt misschien wat meer werk voor kwaadwillenden gedaan, maar met een paar scriptjes en social engineering kunnen ook pc's buit gemaakt worden. En die twee eersten zijn hypothetisch gezien ook niet bug-vrij.

[Reactie gewijzigd door RoestVrijStaal op 27 juli 2024 09:18]

VNC en TeamViewer hebben toestemming van de gebruiker nodig waarintegen BlackShades en andere RAT's zich voor je verbergen.
Nu gaan door een bekende RAT als BlackShades natuurlijk meteen alle alarmbellen rinkelen op je PC als je niet expliciet je antivirus hebt uitgeschakelt, maar er zijn ook weer genoeg trucjes om dat te ontwijken.
Dat is zeker niet per definitie het geval. Vele VNC-clients hebben gewoon een flag om stilletjes in de achtergrond te draaien.
We noemen het nog steeds remote administation tools .. in bijna 20 jaar nog niets veranderd :o
Misschien omdat het zo lekker afkort als RAT, in dat betekent dan in het Engels figuurlijk een verrader of spion. Back Orifice was daarnaast een vrij generieke tool, hooguit wat lastig te detecteren maar niet de typische ransomware kenmerken die deze malware kennelkijk wel had. Dat maakt dan inderdaad wel weer dat de naam tool in deze context nog al ironisch overkomt.
ransomware is min of meer extensie .. iets wat je kunt doen als je eenmaal toegang hebt verschaft met je *kuch* RAT. Opzich had het met BO ook gekund, maar in die tijd had dat nog niet zo'n vlucht genomen, zeker niet tegen particulieren.
Overigens zaten er ook niet gelijk inmense gevangenis straffen overal aan vast ...
Wat een tijd wat een tijd .. ipv feestboek aan geocities of den digitale stad.
ach, Iemand met wat kunde vermaakt zich ook prima met reversed shell. Punt blijft dat het verkoop was, en faciliteren van criminaliteit.

Misschien hebben mensen er genoeg van (Ik post dit al veel te vaak), maar de andere kant moet ook belicht worden:
BlackShades was een RAT, een andere populaire RAT was DarkComet. Geschreven door DarkCoderSC. (Jean-Pierre Lesueur). DarkComet had geen klanten, het was vrij beschikbaar, en DarkCoderSC is gestopt met de ontwikkeling.

Wat was het effect?
http://www.wired.com/2012/07/dark-comet-syrian-spy-tool/

Zijn het niet mensen, dan zijn het instanties die deze tools mis/gebruiken.
'ransomware is min of meer extensie'.

Dat is toch een beetje te kort door de bocht hoor.

Ransomware is een vorm van malware, maar als je gaat kijken wat er allemaal bij komt kijken om Malware op een PC te krijgen zie je toch dat het veel meer is dan een paar gemene scriptkiddies. over het algemeen zijn er drie 'stages' bij het infecteren van een PC met malware:

- Landingpage: dus bijvoorbeeld een gehackte website, een spearfishing email of een Word-doc waarin gepoogd wordt om een lek in de beveiliging van je PC te vinden (ik heb het met name over Windows). alleen al hier zie je een netwerk van aaneengeschakelde URL's die via-via uiteindelijk bij de payload terecht komen (overigens is het opzetten van dat URL netwerk al een aparte industrie die bedoeld is om de onderzoekers van de malware op het verkeerde spoor te brengen)
Als er een lek is gevonden wordt deze uiteindelijk ge-exploit om de

- Payload te installeren op je PC. Afhankelijk van het type malware worden er allerlei gaten gezocht en bij de juiste exploit wordt dan de juiste payload naar binnen gehaald, of men probeert alles in een keer neer te zetten (dus bijvoorbeeld en een pdf versie, en een java-versie, en een flash-versie van de malware, allemaal tegelijk (Dit doet de Fiesta malware bijvoorbeeld).
Met de payload op zijn plek wordt dan uiteindelijk de

-malware geinstalleerd, die in functionaliteit varieert van keyloggers, RAT, tools gespecialiseerd in het achterhalen van electronic banking gegevens tot Ransomware.

Al met al is dit een hele underground industrie met rivaliserende groepen die 0-day exploits opkopen om de effectiviteit van hun programma te bevorderen, en die elkaar zeer strak in de gaten houden om te zien welke functionaliteit de verschillende 'teams' nu weer aan hun malware kit toevoegen.
Hell, er zijn zelfs advertenties te vinden op verschillende sites die je vertellen hoe goed hun malware is!
Vaak verkopen ze licenties op hun malware kits, maar je ziet ook groepen die alles in eigen beheer doen.

al met al erg interessante materie waarbij je rustig kunt zeggen dat hoe meer je ervan weet, hoe zenuwachtiger je zou moeten worden over de creativiteit van deze lieden.

wat dat betreft ben ik dan ook van harte eens met je 'wat een tijd' opmerking! :+
Anoniem: 668879 25 juni 2015 20:08
En niet te vergeten dat we nog steeds met heel veel andere soorten populaire ransomware moeten dealen die van alles gaan encrypten.

Geen idee van welk framework deze afstammen. Maar bottom line: ik vervloek de makers...

CoinVault
Cryptolocker
Cryptowall
....

Slechts een klein greep. Maar van mij mogen ze men zwaarder straffen.

Het enigste wat bij slachtoffers (en bedrijven) ingestampt moet worden is het belang van het maken van juiste en correcte back-ups.

[Reactie gewijzigd door Anoniem: 668879 op 27 juli 2024 09:18]

Intelligente ransomeware zou zich in principe toch nog kunnen stilhouden en zich na twee maanden kenbaar maken?
Dat maakt zelfs een backup volgens mij vrij nutteloos.
We zien dat het allemaal telkens geavanceerder wordt met deze criminelen.
Een beetje geduld zullen ze ook nog wel op kunnen brengen waarschijnlijk...
Wat is het verschil tussen een programmeur die een Remote Access Tool maakt waarmee computers gehackt kunnen worden en een wapen fabriek die pistolen maakt waarmee mensen neer geschoten worden? Voorzover ik kan achterhalen uit het artikel heeft deze man zelf geen computers gehackt/overgenomen/encrypt die niet van hem waren maar was dat door anderen gedaan.
Vuurwapens zijn gereguleerd, die mogen gebruikt worden met de juiste officiële documenten (verlof voor sportschutters, vergunning voor agenten en militairen). Misbruik ervan (moord, bedreiging) is verboden en heeft juridische gevolgen.

Malware is niet gereguleerd. In principe mag je het hebben voor onderzoeksdoeleinden maar het kan heel goed dat je gecontroleerd gaat worden op het gebruik ervan indien men tegen een botnet op loopt die de betreffende malware gebruikt.

[Reactie gewijzigd door nst6ldr op 27 juli 2024 09:18]

Nette straf. De impact van ransomeware is enorm.
En toch staat de straf niet in verhouding met andere misdrijven. Ik kan er velen voor je zoeken en linken maar ik vermoed dat jij ook genoeg voorbeelden kan verzinnen die ingrijpender zijn geweest maar de straf stukken lager.
Dit was geen ransomware.
De verkoper van het breekijzer krijgt meer straf dan degene die de kraak zet.
Waarschijnlijk omdat het geen Amerikaanse software is, dat moet afgestraft worden.
Ze zijn vergeten te melden dat blackshades ook aan de NSA gegeven is om andere computers over te nemen.
Ik snap iets niet helemaal... hoe kan je nou $350.000 winst hebben gemaakt als je de software a $40 aan ruim 6.000 personen hebt verkocht?

Stel we ronden die ruim 6.000 af naar boven - dan kom ik alsnog maar op $40 * 7.000 = $280.000... :S

Wel bizar trouwens dat je voor het maken en aanbieden van een dergelijke tool 57 maanden gevangenisstraf + $200.000 boete krijgt en dat als je *daadwerkelijk* 400 bankrekeningen leegtrekt weg komt met slechts 2 jaar gevangenisstraf. Wellicht dat hij het bewust heeft gepromoot voor kwade bedoelingen maar dan nog, hij heeft niet zelf de criminele activiteit gepleegd alleen gefaciliteerd.

Wil het faciliteren van een dergelijke tool niet goedpraten maar het hoeft natuurlijk niet per definitief kwaadwillend te gebruikt worden, het kan ook binnen de eigen (test) omgeving gebruikt worden om te kijken hoe zoiets functioneerd om er van te leren en wellicht om er juist tegenmaatregelen voor te ontwikkelen!
dom dat de boete altijd minder is dan dat ze verdiend hebben.
En hoezo is dat dom? Hij mag ook 4,5 jaar oid in de bak zitten...

Of wil je liever dat ie daarna met schulden vrij komt en weer uit de schulden moet komen door criminele activiteiten?
Ik snap de opmerking wel. Als ik genaaid zou worden door zo iemand (of een willekeurig ander persoon die mij financiële schade toebrengt) dan is het minste wat ik als benadeelde zou willen zien toch wel een schadeloosstelling. Die gevangenisstraf komt wat mij betreft dan nog op de tweede plaats.
Tja dat doen ze in Amerika inderdaad, straffen als een soort wraakactie, maar in Nederland wordt nog altijd gehoopt op rehabilitatie, want zoals gezegt: wat heb je eraan 2 keer benadeeld te worden door dezelfde persoon?
1 keer waarna die persoon financieel geruineerd wordt, en dan uit wanhoop maar weer terug gaat naar illegale dingen en je nog een keer benadeeld, wint er niemand ;)
Hun winst is natuurlijk nietig verklaard ;)
Heb je weinig aan als die is weggesluisd.

Op dit item kan niet meer gereageerd worden.