Mehr als ein Jahrzehnt lang gelang es Wjatscheslaw Igorewitsch Pentschukow, einem Ukrainer, der den Hackernamen „Tank“ verwendete, der Polizei zu entkommen. Als das FBI und ukrainische Agenten 2010 seine Wohnung in Donezk durchsuchten, war die Wohnung verlassen und Pentschukow wurde vermisst. Doch seine Verbrechensserie fand Ende 2022 ein jähes Ende, als er in die Schweiz reiste, verhaftet und an die USA ausgeliefert wurde.
Heute verurteilte ein US-Bundesrichter in Lincoln, Nebraska, Penchukov zu zwei aufeinanderfolgenden neunjährigen Haftstrafen, nachdem er sich in zwei Fällen der Verschwörung zur Erpressung und der Verschwörung zum Begehen von Überweisungsbetrug schuldig bekannt hatte. Gerichtsdokumenten zufolge verurteilte der US-Bezirksrichter John M. Gerrard Penchukov außerdem zur Zahlung von mehr als 73 Millionen US-Dollar. Das Gericht ordnete außerdem für jeden Anklagepunkt eine dreijährige Freilassung unter Aufsicht an und sagte, dass die beiden Jahre gleichzeitig laufen sollten.
In beiden Anklagepunkten wurde jeweils eine Höchststrafe von 20 Jahren Gefängnis verhängt. Gerichtsdokumenten zufolge beantragten jedoch sowohl die US-Regierung als auch Penchukovs Anwälte eine geringere Strafe, nachdem sie im Februar eine Einigungsvereinbarung unterzeichnet hatten. Es ist unklar, wie die Bedingungen des Einspruchsabkommens lauteten. Den damaligen Dokumenten zufolge könnte Penchukov auch zur Rückzahlung von bis zu 70 Millionen Dollar gezwungen werden. „Ich verstehe das, aber ich habe nicht so viel Geld“, sagte er Anfang des Jahres vor Gericht.
Die strafrechtliche Verfolgung von Penchukov, der seit mehr als einem Jahrzehnt auf der Liste der meistgesuchten Cyberkriminellen des FBI steht, ist ein seltener Schlag gegen einen der am besten vernetzten Anführer einer produktiven Cyberkriminellenbande der 2010er Jahre Die Strafverfolgungsbehörden stehen vor Herausforderungen, wenn sie gegen osteuropäische Cyberkriminelle vorgehen, insbesondere solche mit Sitz in Russland oder der Ukraine, die kein Auslieferungsabkommen mit den Vereinigten Staaten haben.
Vor der Urteilsverkündung lehnte das Justizministerium eine Stellungnahme zu dem Fall ab, und das FBI und die Anwälte von Penchukov antworteten nicht auf die Anfragen von WIRED nach einer Stellungnahme.
Im Februar bekannte sich der Ukrainer schuldig (mehrere Anklagen wurden nach seiner Unterschrift fallen gelassen) und gab zu, einer der Anführer der Hackergruppe Jabber Zeus zu sein, die 2009 damit begann, Zeus-Malware zu verwenden, um Computer zu infizieren und Bankdaten von Menschen zu stehlen. Die Gruppe nutzte diese Informationen, um sich in Konten einzuloggen, Geld abzuheben und es dann an verschiedene Money Mules zu senden, wodurch sie kleinen Unternehmen in den USA und Europa Dutzende Millionen Dollar stahlen.
„Der Angeklagte spielte eine entscheidende Rolle, eine führende Rolle, in diesem Fall, indem er den Austausch gestohlener Bankdaten und Money Mules leitete und koordinierte“, teilten Staatsanwälte dem Gericht Anfang des Jahres mit. Sie stahlen den Unternehmen der Opfer Tausende von Dollar und leerten oft deren Konten.
Penchukov, der auch ein bekannter DJ in der Ukraine war, gab auch zu, eine Schlüsselrolle bei der Organisation der IcedID-Malware (auch bekannt als Bokbot) gespielt zu haben, die die Finanzinformationen der Opfer sammelte und den Einsatz von Ransomware auf Systemen ermöglichte. Nach Angaben der Behörden war er von November 2018 bis mindestens Februar 2021 beteiligt. Die Ermittler fanden heraus, dass er eine Tabelle geführt hatte, in der die Einnahmen von IcedID im Jahr 2021 in Höhe von 19,9 Millionen US-Dollar aufgeführt waren.