Twee van de drie grote banken in Nederland waren het doelwit van de TorRAT-malware, waarmee criminelen zo'n 1 miljoen euro wisten te stelen. In deze zaak werden maandag vier mannen aangehouden. De bende zou de malware, die van het Tor-netwerk gebruik maakte, zelf hebben ontwikkeld.

Dat blijkt uit een onderzoeksrapport dat het Delftse beveiligingsbedrijf Fox-IT met Computerworld en Tweakers deelde. De malware was al sinds begin 2012 in ontwikkeling, maar werd pas in augustus van 2012 van de functionaliteit voorzien om fraude met internetbankieren te plegen. Daarbij waren twee banken het doelwit Welke banken staat niet in het rapport vermeld.

"De derde bank werd wel in de gaten gehouden maar er werd geen fraude gepleegd. Dat de malware gericht was op Nederland was eigenlijk niet vreemd omdat de mensen achter de malware Nederlanders waren", zo laat Michael Sandee weten, de opsteller van het rapport. Pas toen de geheel Nederlandse beheerdersinterface werd ontdekt wisten de onderzoekers zeker dat het om een Nederlandse bende cybercriminelen ging.

Anonieme VPN-diensten

De bende gebruikte anonieme VPN-diensten, Bitcoins, prepaidkaarten en het Tor-netwerk zelf om anoniem te blijven. Ook werden de besmette computers van slachtoffers ingezet om te communiceren. Om ontdekking van de malware te voorkomen installeerde de bende ook de Zeus banking Trojan op de systemen van slachtoffers, met als doel om onderzoekers van een besmette computer op het verkeerde been te zetten.

Hoe de vier nu opgepakte mannen konden worden geïdentificeerd is nog altijd onbekend. Het feit dat ze vanuit Nederland opereerden en zich alleen op Nederlandse gebruikers richtte zou bij de opsporing hebben meegeholpen, aldus Sandee: "Als ze vanuit Rusland opereerden was het lastiger."