Designfejl i ransomware afslørede bagmænds indtjening: 189 millioner kroner på fire måneder

En fejl i malware afslørede lukrativ forretning for folk bag ransomware.

28 millioner dollars, eller ca. 189 millioner kroner, på fire måneder. Så meget indbragte ransomwaren CryptoLocker ukendte bagmænd.

Det fortæller malware-analytiker Bogdan Botezatu fra Bitdefedner under en seance i hovedkvarteret hos den rumænske virksomhed, hvor Version2 er til stede.

Folk bag den form for forretning går imidlertid ikke normalt og skilter med deres forretning, så hvor ved Bitdefender egentlig det fra?

»Nogle gange tillader designfejl i deres malware os at smugkigge ind i koden og se, hvor lukrativ deres forretning er,« siger Bogdan Botezatu.

Løsesummen for at få frigivet de krypterede filer, ransomwaren efterlader, betales typisk i kryptovalutaen bitcoin.

Bagmænd i cryptolocker-kampagne bombarderede med malware

Det er en foretrukken møntfod for den slags, fordi teknologien gør det muligt at sløre modtagere og afsendere af transaktioner. Sådan da.

Alle transaktioner i bitcoin er offentligt tilgængelige, hvor det er muligt at se til hvilken - navnløs - bitcoin-wallet, en transaktion havner.

Læs også: Københavns Universitet lukker netværksdrev i 12 timer efter virusangreb

Og her havde bagmændene under en cryptolocker-kampagne, hvor intetanende ofre bliver bombarderet med malware, begået en fejl, som gav folkene fra BitDefender et sjældent indblik i økonomien i sådan et foretagende.

»De brugte en bitcoin-wallet, hvor alle beløbene endte,« siger Bogdan Botezatu.

Og på den måde kunne Bitdefender-analytikerne følge antallet af beløb, der blev indsat over en periode på fire måneder. Det fik dog en ende.

Den type mennesker bryder sig ikke om at lufte deres forretningsmodel i fuld offentlighed, fortæller Bogdan Botezatu.

»De indså, at det var dumt at have alle deres bitcoins i samme wallet.«

Derfor ændrede bagmændende i koden, så en ny bitcoin-wallet blev brugt ved hver transaktion, og dermed var det ikke længere muligt at følge med i den akkumulerede indtjening.

Forskel i oplåsningspris

Det koster typisk mellem 100 og 300 dollars at få adgang til sine ransomware-ramte filer igen, fortæller Bogdan Botezatu. Prisforskellen skyldes de forholdsvis store udsving i bitcoin-kursen.

Og som regel åbner bagmændene for filerne igen, når betalingen er gennemført, da ingen jo ellers gad at betale ind til forretningen.

Men det sker en gang imellem, at oplåsningsnøglen ikke ankommer. Og det er typisk under to scenarier:

»(Hvis) ransomwaren bliver styret af dumme teenagere, som bliver fanget af politiet,« siger Bogdang Botezatu om det første scenarie.

Han tilføjer, at det andet scenarie er, hvis eksempelvis FBI beslaglægger de såkaldte Command and Control-servere, der bliver brugt til at administrere malwaren.

Version2 er inviteret til Bukarest af Bitdefender.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (4)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Kjeld Flarup Christensen

Hvordan kan man egentligt finde ud af hvor meget der er i sådan en Wallet. Man må også ud fra at den er placeret i et land hvor man er ligeglade med den slags kriminalitet.

Som jeg har forstået bitcoin teknologien, så kan transaktioner spores, altså hvis man sender en bitcoin til en hacker, så vil man senere når den er blevet givet videre, kunne se et link tilbage til ofret. Altså man burde kunne spore hvem som samarbejder med hackerne.

  • 0
  • 0
Malcolm Xander

En wallet kan jo bestå af mange Bitcoin-adresser, som så vidt jeg ved ikke kan forbindes til hinanden af udefrakommende, så længe ejeren ikke laver en fejl såsom transaktioner til og fra disse adresser.

Det er ikke at krav at anvende en online-wallet, og jeg tvivler på at skurkene gør. De bruger nok nærmere klient-software, netop for at undgå overtagelse af konto og Bitcoins.

Hvis adresse A sender 1 Bitcoin til adresse B, vil du kunne se transaktionen på Blockchain.
Eftersom du nu kender adressen B, vil du kunne slå denne op, og følge med i fremtidige transaktioner.
Ved at have én adresse, har alle og enhver med kendskab til denne, derfor mulighed for at se den samlede pengestrøm.
Derfor vælger de nu at generere én adresse for hvert offer. På denne måde vil kun de indberettede adresser være sporbare, hvilket besværliggører forskning som dette, betydeligt.

Hvis de enkelte betalinger så bliver samlet i større beløb med nye adresser, er der igen en chance for at spore dem.

Hvordan pengene så bliver vasket er en anden sag, og kan igen føre til sporing af bagmændene.
Man kunne forestille sig, at de enten brugte dem på diverse goder på forskellige Darknet markeder, som de så bagefter sælger i bytte for kontanter.
De kunne også anvende en mixer/tumbler service, som blander og erstatter Bitcoins.
Disse kan så sælges på markedets hundredvis af auktioner og børser.

  • 2
  • 0
Log ind eller Opret konto for at kommentere
IT Company Rank
maximize minimize