Anonym sikkerhedsforsker: Sådan fungerer brugervenligt ransomware-setup

Illustration: Pang-rum/Bigstock
En sikkerhedsforsker fra Bitdefender har samarbejdet med Europol om at få skovlen under den seneste udgave af ransomware-as-a-service-programmet GandCrab.

Forleden udkom et dekrypteringsværktøj, der kan gendanne filer ramt af forskellige udgaver af ransomwaren GandCrab.

Det er den rumænske it-sikkerhedsvirksomhed Bitdefender, der i samarbejde med blandt andet Europol har udviklet værktøjet.

Version2 har i den forbindelse i slutningen af oktober talt med en sikkerhedsforsker fra Bitdefenders forensics-hold. Han har samarbejdet tæt med nationale politimyndigheder og Europol i forhold til efterforskningen, hvor også amerikanske FBI har bidraget.

Bitdefender har ikke har ønsket at afsløre identiteten på sikkerhedsforskeren overfor Version2, så er kildens navn ganske usædvanligt ikke redaktionen bekendt.

Vi har sagt ja til præmissen, da det giver os mulighed for at stille spørgsmål direkte til en fagperson i stedet for, at dialogen - som det andre gange er tilfældet i denne slags sager- foregår gennem en pr-afdeling.

Bitdefenders Global PR Manager Andrei Taflan har i den forbindelse tilbudt at stå som garant for citaterne fra den anonyme kilde, som Version2 har talt direkte med over telefonen.

For overskuelighedens skyld kalder vi her den anonyme Bitdefender kilde ABK.

Politi-myndigheder og Bitdefenders armtag med GandCrab har stået på siden februar i år, dengang var programmet i version 1, den seneste version er 5.

Der er tale om såkaldt ransomware-as-a-service. Det vil sige, at kriminelle uden den store tekniske know-how via en hjemmeside kan administrere deres egen tilpassede version af GandCrab.

»Alle med lidt eller ingen teknisk viden kan gå ind på en hjemmeside. Det er grundlæggende et web-interface, og derfra er alt man behøver at tilpasse sin løsesums-besked og mængden af penge, man vil kræve fra ofrene. Og så tager platformen sig af alt,« siger ABK.

Tilpasset besked

Som flere vil vide, så er begrebet ransomware et fænomen, der de senere år har plaget private og organisationer ved at inficere systemer, kryptere filer og så afkræve ofrene en løsesum - ofte i kryptovaluta - for at få dekrypteringsnøglen. GandCrab-setuppet skiller sig ifølge ABK alligevel ud fra malware-mængden.

Dels er GandCrab brugervenlig at benytte, og så har nye versioner af ransomwaren haft succes med at sprede sig. Og så er beskeden til ofrene, hvor løsesummen bliver opkrævet, ganske fleksibel.

»Indtil nu har der ikke været ransomware, med en løsesumsbesked baseret på typen af filer, der er inficerede og baseret på målet.«

Det vil sige, at løsesumsbeskeden i GandCrab eksempelvis kan sættes op til at fortælle ofret, at vedkommende billedfiler nu er krypteret, og hvis man vil have dem igen, så skal der overføres eksempelvis Bitcoin til den og den adresse.

ABK fortæller, at typen af kryptovaluta, som løsesummen bliver opkrævet i, er et andet element, der kan tilpasses af GandCrab-brugeren.

Bagmændene

En ting er brugerne, hvad med bagmændene?

»Vi kan ikke finde ud af, hvem den faktiske eller de faktiske udviklere bag denne ransomware-as-a-service er. Du kan på et eller andet tidspunkt teknisk identificere nogle af dem, der har købt ransomware-as-a-service fra udviklerne, men de faktiske fyre, der står bag det og faktisk laver kodningen og de nye versioner, det er meget svært at vide, hvem de er. Det er en igangværende undersøgelse,« siger ABK.

Som Version2 og Ingeniøren tidligere har fortalt, så kan anonymiseringstjenster som blandt andet TOR gøre det vanskeligt at finde ud af, hvem der står bag cybercrime.

En andel

I et blogindlæg fra 30. oktober anslår Liviu Arsene fra Bitdefender, at GandCrab-løsesummen varierer, og at der er set eksempler på alt fra 600 dollars og helt op til 700.000 dollars per offer. I indlægget anslås det, at de seneste GandCrab-versioner 4 og 5 har inficeret 500.000 brugere på verdensplan siden juli i år.

Og på baggrund af disse tal, så vurderer Bitdefender, at bagmændene i løbet af de seneste par måneder kan have tjent 300 mio. dollars. Det er næsten 2 mia. kroner.

Hvad økonomien i GandCrab angår, så fortæller ABK, at bagmændene beholder 30 pct. at løsesummen, som et offer betaler. Resten går til GandCrab-kunden.

»Alt klienten skal gøre at at finde på en ransom-note, sætte værdien på ransom-noten og det er det. Kunden (brugeren af ransomware-as-a-service, red) er ikke nødvendigvis involveret i noget der har med pengestrømme at gøre. Platformen, ransomware-as-a-service, gør det automatisk,« siger ABK.

Bander involveret i gadekriminalitet

Når Bitdefender ikke ønsker at oplyse identiteten på ABK, så hænger det ifølge Andrei Taflan sammen med vedkommendes personlige sikkerhed.

»Vi bliver nødt til at beskytte vores forskers identitet på grund af bekymringer for hans fysiske sikkerhed. Som regel er disse cyberkriminelle operationer kørt af bander, involveret i gadekriminalitet, afpresning og vold, og vi ønsker ikke at tage nogen chancer,« oplyser Andrei Taflan i et skriftligt svar sendt via virksomhedens danske pressekontakt.

»Derudover hvis identiteten er offentlig, så bliver forskere forbundet med disse operationer online-mål ovenikøbet, og det at leve deres digitale liv bliver et dagligt besvær.«

Hjælp kan være på vej til 2 og 3

Selvom Bitdefenders dekrypteringsværktøj endnu ikke understøtter filer krypteret med GandCrab version 2 og 3, så opfordrer virksomheden folk, derer ramt af disse versioner til ikke at betale løsesummen. Bitdefender arbejder efter sigende på også at kunne dekryptere disse data.

Værktøjet er kun til Windows, da det ifølge Bitdefender er denne platform, som ransomwaren er målrettet. En af de mest populære måder at sprede ransomwaren på har ifølge Bitdefender været via zip-filer vedhæftet mails. Også sårbare versioner af Adobe Flash og Adobe Reader er ifølge Bitdefender blevet udnyttet til GandCrab-infektion.

ABK har ikke ønsket at komme med detaljer omkring, hvordan Bitdefender faktisk er i stand til at dekryptere data. Han ønsker ikke at give bagmændene en idé om, hvordan det foregår, så de kan foregribe dekrypteringen med nye versioner af GandCrab.

På siden for dekrypteringsværktøjet fremgår det, at værktøjet skal bruge en løsesumsbesked og en internetforbindelse for at kunne hente den rette dekrypteringsnøgle.

Noget kunne altså tyde på, at Bitdefender har adgang til krypteringsnøglerne for de nævnte versioner af ransomwaren.

Version2 har tidligere fortalt om en situation, hvor Bitdefender netop havde fået adgang til nøglerne.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (1)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Povl H. Pedersen

Man skal ikke give TOR mere credit end den er værd. Vi ved alle, at statsaktører i stor stil har exit nodes og interne nodes i TOR netværket for at kunne følge med i lyssky trafik. Såfremt statsaktører har en stor del af noderne i netværket, så kan de se med. Og ved at lave netværksmæssige blokeringer, så kan de sandsynligvis sørge for at det er svært at gå udenom statsaktørernes servere. Alt dette kan kombineres med noget timing, måske netværkslogs, og som vi tidligere har set, så har man injectet usynlige billeder i webtrafik fra særlige domæner, hvor man så har forsøgt at backtrace DNS forespørglen.

  • 6
  • 0
Log ind eller Opret konto for at kommentere