De bende die de Nederlandse TorRAT-malware ontwikkelde, waarmee één miljoen euro van online bankrekeningen werd gestolen, was al enige tijd in het vizier van het Japanse anti-virusbedrijf Trend Micro. Vorige week werden vier vermeende leden van de bende door de Nederlandse politie opgepakt.

Volgens de virusbestrijder zou de bende meer dan 300 malware-bestanden hebben gemaakt. Daarbij zou er een Armeense cyptingdienst genaamd "SamArt" zijn gebruikt. Door het "crypten" van de malware is die lastiger door anti-virusbedrijven te detecteren. Het gebruik van deze dienst nam echter ook risico's met zich mee, stelt onderzoeker Feike Hacquebord. De bende moest namelijk met de aanbieder van de dienst communiceren.

Tor

TorRAT gebruikte het Tor-netwerk om communicatie met de besmette computers te verbergen. In de herfst van 2012 ontdekte Trend Micro dat een aantal van de Command & Control-servers niet meer via het Tor-netwerk werd gehost, maar in een Turks datacentrum. Daarnaast hadden de criminelen het probleem dat ze het geld moesten witwassen. Hiervoor gebruikten ze moneymules die hun rekening ter beschikking stelden.

Ook had één van de bendeleden een eigen Bitcoin exchange, voor het omzetten van het gestolen geld naar deze digitale valuta. Door het gebruik van de cryptingdienst, tormail.org en het rekruteren van moneymules liepen de bendeleden steeds het risico om te worden gepakt, merkt Hacquebord op. "Eén enkele fout kan tot het ontrafelen van de hele cybercrime-operatie leiden. Tor biedt een hoog niveau van anonimiteit, maar Tor-tools zijn niet immuun voor datalekken."

Hoe de bende kon worden opgepakt is nog altijd de grote vraag en ook Hacquebord heeft hier geen antwoord op. Wel feliciteert hij het Team High Tech Crime van de politie met "dit fantastische en indrukwekkende resultaat".