IntelCrawler onderzocht de malware en wist met behulp van een diepgaand onderzoek naar de herkomst van de malware, twee (vermoedelijk) Russische hackers op te sporen. De eerste afgelopen vrijdag en gisteren nummer twee. IntelCrawler is zo zeker van zijn zaak dat het beide namen op zijn website heeft gepubliceerd. Zelfs voordat de twee officieel als verdacht zijn aangemerkt.

Ondergrondse malware-handel

De Amerikaanse beveiligingsexpert is op zoek gegaan op ondergrondse fora en chatkanalen waar malware wordt verkocht. Hier kwam het op het spoor van iemand genaamd 'ree4'. In eerste instantie dacht IntelCrawler dat hier één persoon achter schuilging, maar gedurende het vervolg van het onderzoek bleken twee personen van de alias gebruik te maken.

Beiden komen waarschijnlijk uit Sint-Petersburg en tenminste eentje is zeventien jaar oud. Volgens IntelCrawler zijn deze personen bekende namen in malware-land. De twee jonge hackers hebben de BlackPOS-malware alleen gemaakt en niet gebruikt om de diefstal te plegen.

Target target op Black Friday

Tijdens Black Friday, begin december, werd de Amerikaanse winkelketen Target opgeschrikt door een diefstal van veertig, en zoals later bleek zeventig miljoen klantgegevens. Later bleken ook andere winkels slachtoffer, waaronder in Canada en Australië.

De onbeveiligde gegevens werden door de malware gekopieerd van de magneetstrip van creditcards en betaalkaarten. De makers noemen de malware Kaptoxa, maar omdat deze zijn bekendheid dankt aan Black Friday en kassasystemen (point-of-sale, POS) wordt die door de media BlackPOS genoemd.

Schermafdruk van het forum waarop ree4 hun malware proberen te verkopen. Kennis van Russisch aangeraden.