Designfejl i ransomware afslørede bagmænds indtjening: 189 millioner kroner på fire måneder

28. oktober 2015 kl. 10:434
En fejl i malware afslørede lukrativ forretning for folk bag ransomware.
person
Jakob Møllerhøj
journalist
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.
person
Jakob Møllerhøj
journalist

28 millioner dollars, eller ca. 189 millioner kroner, på fire måneder. Så meget indbragte ransomwaren CryptoLocker ukendte bagmænd.

Det fortæller malware-analytiker Bogdan Botezatu fra Bitdefedner under en seance i hovedkvarteret hos den rumænske virksomhed, hvor Version2 er til stede.

Folk bag den form for forretning går imidlertid ikke normalt og skilter med deres forretning, så hvor ved Bitdefender egentlig det fra?

»Nogle gange tillader designfejl i deres malware os at smugkigge ind i koden og se, hvor lukrativ deres forretning er,« siger Bogdan Botezatu.

Artiklen fortsætter efter annoncen

Løsesummen for at få frigivet de krypterede filer, ransomwaren efterlader, betales typisk i kryptovalutaen bitcoin.

Bagmænd i cryptolocker-kampagne bombarderede med malware

Det er en foretrukken møntfod for den slags, fordi teknologien gør det muligt at sløre modtagere og afsendere af transaktioner. Sådan da.

Alle transaktioner i bitcoin er offentligt tilgængelige, hvor det er muligt at se til hvilken - navnløs - bitcoin-wallet, en transaktion havner.

Og her havde bagmændene under en cryptolocker-kampagne, hvor intetanende ofre bliver bombarderet med malware, begået en fejl, som gav folkene fra BitDefender et sjældent indblik i økonomien i sådan et foretagende.

Artiklen fortsætter efter annoncen

Jobs

Dine job
Vis alle

»De brugte en bitcoin-wallet, hvor alle beløbene endte,« siger Bogdan Botezatu.

Og på den måde kunne Bitdefender-analytikerne følge antallet af beløb, der blev indsat over en periode på fire måneder. Det fik dog en ende.

Den type mennesker bryder sig ikke om at lufte deres forretningsmodel i fuld offentlighed, fortæller Bogdan Botezatu.

»De indså, at det var dumt at have alle deres bitcoins i samme wallet.«

Derfor ændrede bagmændende i koden, så en ny bitcoin-wallet blev brugt ved hver transaktion, og dermed var det ikke længere muligt at følge med i den akkumulerede indtjening.

Forskel i oplåsningspris

Det koster typisk mellem 100 og 300 dollars at få adgang til sine ransomware-ramte filer igen, fortæller Bogdan Botezatu. Prisforskellen skyldes de forholdsvis store udsving i bitcoin-kursen.

Og som regel åbner bagmændene for filerne igen, når betalingen er gennemført, da ingen jo ellers gad at betale ind til forretningen.

Men det sker en gang imellem, at oplåsningsnøglen ikke ankommer. Og det er typisk under to scenarier:

Artiklen fortsætter efter annoncen

»(Hvis) ransomwaren bliver styret af dumme teenagere, som bliver fanget af politiet,« siger Bogdang Botezatu om det første scenarie.

Han tilføjer, at det andet scenarie er, hvis eksempelvis FBI beslaglægger de såkaldte Command and Control-servere, der bliver brugt til at administrere malwaren.

Version2 er inviteret til Bukarest af Bitdefender.

Emner
4 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Køb abonnementFå prøveabonnement

Jobs

Dine job
Vis alle

Fortsæt din læsning

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
4
Malcolm Xander
29. oktober 2015 kl. 00:44

En wallet kan jo bestå af mange Bitcoin-adresser, som så vidt jeg ved ikke kan forbindes til hinanden af udefrakommende, så længe ejeren ikke laver en fejl såsom transaktioner til og fra disse adresser.

Det er ikke at krav at anvende en online-wallet, og jeg tvivler på at skurkene gør. De bruger nok nærmere klient-software, netop for at undgå overtagelse af konto og Bitcoins.

Hvis adresse A sender 1 Bitcoin til adresse B, vil du kunne se transaktionen på Blockchain. Eftersom du nu kender adressen B, vil du kunne slå denne op, og følge med i fremtidige transaktioner. Ved at have én adresse, har alle og enhver med kendskab til denne, derfor mulighed for at se den samlede pengestrøm. Derfor vælger de nu at generere én adresse for hvert offer. På denne måde vil kun de indberettede adresser være sporbare, hvilket besværliggører forskning som dette, betydeligt.

Hvis de enkelte betalinger så bliver samlet i større beløb med nye adresser, er der igen en chance for at spore dem.

Hvordan pengene så bliver vasket er en anden sag, og kan igen føre til sporing af bagmændene. Man kunne forestille sig, at de enten brugte dem på diverse goder på forskellige Darknet markeder, som de så bagefter sælger i bytte for kontanter. De kunne også anvende en mixer/tumbler service, som blander og erstatter Bitcoins. Disse kan så sælges på markedets hundredvis af auktioner og børser.

  • more_vert
    • insert_linkKopier link
3
Kjeld Flarup Christensen
29. oktober 2015 kl. 00:06

Hvordan kan man egentligt finde ud af hvor meget der er i sådan en Wallet. Man må også ud fra at den er placeret i et land hvor man er ligeglade med den slags kriminalitet.

Som jeg har forstået bitcoin teknologien, så kan transaktioner spores, altså hvis man sender en bitcoin til en hacker, så vil man senere når den er blevet givet videre, kunne se et link tilbage til ofret. Altså man burde kunne spore hvem som samarbejder med hackerne.

  • more_vert
    • insert_linkKopier link
1
Milos Game
28. oktober 2015 kl. 13:43

De, der påstår at kriminalitet ikke kan betale sig, er nogle elendige kriminelle, for det kan da tydeligvis godt betale sig. :-)

  • more_vert
    • insert_linkKopier link