Maxim Rudometov er efterlyst af FBI for at være chef for det udbredte hacking-værktøj Redline.
Med et trecifret antal millioner ofre på samvittigheden står han sammenlagt til 35 år i fængsel, hvis han fanges.
Men udsigten til, at myndighederne får fingrene i ham, er yderst smal, fordi han opholder sig i den russiske by Krasnodar et par hundrede kilometer fra Ukraine.
Det kan den dansk-stiftede open source intelligence-gruppe OSINord nu fortælle.
Blot fire dage efter at Maxim Rudometov blev doxxed af myndighederne, kan Valdemar Balle og Ron Kaminsky tilføje flere lag til den cyberkriminelle boss’ liv.
Det nyeste billede fra Instagram, som de to hobby-efterforskere har gravet frem, er fra slutningen af juli, hvor hackeren iført et hvidt sommeroutfit hygger sig med 16 venner plus en isbjørn-maskot udenfor baren 'Raketten og Kazbek' (maskinoversat) i den russiske storby Krasnodar.
"Maxim Rudometov er skyld i millioner af menneskers hovedpine. Rigtige mennesker har mistet virksomheder - deres levebrød, fået stjålet deres penge via deres stjålne bankoplysninger og fået leaket deres browser history på internettet. På trods af det, lever han i beskyttelse i Rusland og spiser på dyre restauranter. Nu, hvor der sikkert ikke kommer retslige konsekvenser, så er det vigtigt at informationerne kommer ud," siger han.
Blærerøv uden frygt
Selv om Maxim Rudometov har administreret en af de mest aggressive infostealer-platforme, så har han angiveligt haft god tid til at spise pasta med kammuslinger og få tatoveret hele armen - hverdagsglimt, som alle er blevet foreviget på sociale medier.
“Vores teknikker er naturligvis avancerede, men Maxims forholdsregler burde være on point. Det var de ikke. Måske er dette bare endnu et eksempel på, at kriminalitet altid vil blive opdaget,” siger Balle.
De fleste fotos er sporet til den russiske by Krasnodar, som blandt andet var lejehæren Wagnar Groups største militære base, inden gruppen blev opslugt af den russiske hær - og stifteren Yevgeny Prigozhin døde i et flystyrt.
Men Maxim Rudometov har også anskaffet sig et kørekort fra køreskolen “Autolux” i ukrainske by Luhansk, der har været under russisk kontrol siden starten af krigen i 2014.
“Vores teori er, at Rudometov oprindeligt er fra Ukraine. Teorien bygger vi på, at han i 2021 opnår kørekort i udbryder-regionen Luhansk, som er placeret i det østlige Ukraine. Vi tænker, at det er sandsynligt, at han derefter rejser til Rusland og slår sig ned. Hvilket muligvis kan ses som et udtryk for, hvilken ‘side’ han allierer sig med,” siger han og tilføjer:
“Det er naturligvis svært at bevise, da mange øst-ukrainere har tætte familiære bånd til Rusland, hvorfor det også kan være derfor han rejser til Krasnodar.”
Infostealers er hackernes foretrukne nye våben
Brugen af infostealers er eksploderet, fordi det er et yderst billigt værktøj at erhverve sig. Maxim Rudometov har stået for udviklingen af Redline, som ifølge sikkerhedsfirmaet Outpost24 har ramt over 170 millioner ofre - i blot de seneste seks måneder.
Han sælger altså licenser til andre kriminelle, som kan bruge værktøjet til at angribe private personer og virksomheder.
Operation Magnus, som myndighederne har døbt efterforskningen mod Maxim Rudometov, har også ført til anholdelsen af to købere af Redline-infostealeren i Belgien - deres identitet er endnu ikke offentliggjort.
Selv om prisen kan være så lav som en håndfuld dollar, så har Maxim Rudometov stadig tjent nok til et luksuriøst liv i Rusland.
Som tidligere beskrevet af Computerworld, så er cyberangrebet mod elektronikgiganten Schneider Electric sket med infostealeren Lumma.
Ifølge Thomas ‘Mannie’ Willkan fra Accenture, så er netop den infostealer lige nu den mest udbredte, som man bør beskytte sig mod.
“Infostealers skabes ofte privat, når den så begynder at have mange ofre, så sættes den til salg på dark web - en slags proof of concept. I takt med den sælges til flere og flere, så bliver den mindre værd, fordi sikkerhedsselskaber forsvarer sig mod den - den måde lever infostealers i cyklusser,” siger han.