»Hver gang vi ser et spike i Bitcoin-prisen, så ved vi med sikkerhed, at nogen skal bruge store summer til at betale i forbindelse med ransomware.«

Kursen på Bitcoin stiger, når ofre veksler til kryptovalutaen for at betale løsesummen, fortæller ekspert.

Udsigten til stor økonomisk gevinst og umiddelbart lille risiko for at blive fanget er formentlig hovedforklaringen på, hvorfor ransomware er en populær angrebsteknik set med it-kriminelle øjne.

Og mens 2015 var året, hvor ransomware for alvor er blevet et alment kendt begreb i it-Danmark, så tyder intet på, at 2016 bliver mere stille på den front.

Faktisk er der så godt gang i de kriminelles ransomware-forretning, at det ifølge Bogdan Botezatu kan ses på den generelle Bitcoin-kurs.

Ham er senior e-threat analyst ved rumænske Bitdefender. Virksomheden samarbejder med politimyndigheder som Europol om at opklare cyberkriminalitet.

»Hver gang vi ser et spike (kortvarig, kraftig stigning, red.) i Bitcoin-prisen, så ved vi med sikkerhed, at nogen skal bruge store summer til at betale i forbindelse med ransomware over hele verden,« siger Bogdan Botezatu, som også optræder med en keynote på Version2s it-sikkerhedsevent, Infosecurity d. 3. og 4. maj i København, se nederst.

Som det vil være flere bekendt fungerer et typisk ransomware-angreb ved, at en bruger i en organisation kommer til at åbne en ondsindet fil, som enten er vedhæftet eller linket til i en mail. Og vupti, så er alle fællesdrev, som brugeren har adgang til, krypteret af den ondsindede software. Herefter dukker en besked op om, at der skal betales eksempelvis 1 bitcoin for at få fat i den nøgle, der kan låse filerne op igen.

Kryptovalutaen bitcoin har den fordel - set med cyberkriminelle øjne - at det ikke er nødvendigt for afsender eller modtager at bitcoins at kende hinandens identitet. I forhold til ransomware betyder det, at den ramte organisation får at vide, at der skal overføres en bitcoin til en given og anonym adresse, hvorefter nøglen til dekryptering bliver tilgængelig for organisationen.

Bogdan Botezatu fortæller, at hvis organisationen ikke har så meget styr på det med bitcoin, så er der hjælp at hente, fordi de kriminelle ofte supplerer ransomwaren med udførlige instruktioner til at anskaffe bitcoin.

Læs også: Første ransomwareangreb nogensinde mod Mac registreret

Transparens

Trods den anonymitet, der er forbundet med kryptovalutaen, så kan der i udgangspunktet også være en fordel ved bitcoin-systemet set med efterforskningsmæssige briller. Alle transaktioner er nemlig offentlig tilgængelige i bitcoins-systemets hovedbog, den såkaldte blockchain.

Det vil sige, at hvis en gruppe cyberkriminelle har gang i en ransomware-kampagne, hvor ofrene betaler løsesum til den samme bitcoin-adresse, så er det i princippet muligt at se blandt andet, hvor meget der bliver betalt til adressen. Altså hvor lukrativ de kriminelles foretagende er. Og det er måske også muligt via blockchain-informationerne at danne sig et overblik over, hvortil de kriminelle videresender deres bitcoin. Altså sammen informationer, der måske kan være med til at afdække, hvem der står bag.

Læs også: Ransomware-udviklere klokker i det for tredje gang: Glemmer at vælge hash-funktion

Og ovenstående var også ganske muligt tilbage i 2014, men det er blevet sværere at spore de kriminelles transaktioner, forklarer Bogdan Botezatu.
»Det er svært at gøre nu om stunder, fordi cyberkriminelle også er smarte folk. De bruger ikke en enkelt bitcoin-wallet. Hver gang et stykke malware inficerer, bliver der genereret en ny bitcoin-wallet, hvortil der skal betales et beløb.«

Det vil sige, at når en organisation bliver ramt af ransomware, så bliver der fra en server, de cyberkriminelle kontrollerer, sendt en unik bitcoin-adresse til organisationen, som løsesummen skal indbetales til.

Private nøgler

De kriminelle er selv i besiddelse af en tilhørende privat nøgle, som gør det muligt at overføre penge fra den unikke bitcoin-adresse. De er også i besiddelse af en anden privat nøgle, der også er unik til lejligheden. Nemlig den nøgle, der gør det muligt at dekryptere filerne på ofrets system igen.

Selvom de it-kriminelle forsøger at sløre deres spor ved at anvende unikke bitcoin-adresser for hvert angreb, så er det dog stadig mulig at finde mønstre i de offentligt tilgængelige transaktioner, der i sidste ende kan hjælpe med at identificere de rigtige bagmænd, forklarer Bogdan Botezatu. Blandt andet når pengene bliver flyttet rundt til andre wallets.

»De it-kriminelle overfører penge fra engangs-bitcoin-walleten til en større bitcoin-wallet. Vi er i stand til at se mønstre, men det er ikke som det var i 2014,« siger han med henvisning til, da de it-kriminelle var mere tilbøjelige til at anvende den samme wallet til det hele.

Bogdan Botezatu fortæller, at hvis en bitcoin-adresse modtager jævnlige betalinger og optræder i forbindelse med betalingsmodulet for en webbutik, ja, så er det måske ikke så mærkeligt. Men hvis den derimod ikke optræder nogen steder, kan det være en indikator på, at noget er værd at holde øje med.

»Vi ser på hvor mange penge, der bliver kanaliseret ind i en bitcoin-wallet, og hvad overførslerne er fra disse bitcoins-wallets til andre bitcoin-wallets.«

I sidste ende så skal bitcoins omsættes til rigtig mønt for at have en egentlig værdi for de kriminelle. I den forbindelse bliver bitcoins solgt på børser, hvorfra pengene bliver kanaliseret videre ud til de kriminelle via tjenester som Western Union, som ifølge Bogdan Botezatu gør det muligt at sløre konverteringen af penge fra cyberspace til den fysiske verden. Men det er også i dette led, at der er mulighed for at afsløre, hvem der reelt står bag.

»Det er værdiløst at have 20 mio. dollars i Bitcoin-valuta, hvis ikke du kan omsætte det til rigtige penge,« siger han.

Kom gratis med til Danmarks største IT-sikkerhedsevent! Mød blandt mange andre keynotes Bogdan Botezatu

Infosecurity, Europas mest populære IT-sikkerhedsevent, afholdes for første gang i Danmark den 3. og 4. maj 2016. 50 udstillere, 5 konferencesale og mere end 60 seminarer og caseoplæg fra ind- og udland. Læs mere her.

Følg forløbet

Kommentarer (5)

Henning Wangerin

Det vil sige, at hvis en gruppe cyberkriminelle har gang i en ransomware-kampagne, hvor ofrene betaler løsesum til den samme bitcoin-adresse, så er det i princippet muligt at se blandt andet, hvor meget der bliver betalt til adressen.

Selvfølgelig kan man det, men mon ikke de benytter forskellige adresse i hver enkelt forsøg? Ellers bliver det godt nok lidt besværligt at se hvem der rent faktisk har betalt.

Jakob Møllerhøj Journalist
John Lucas

Tak Lars. Dejligt at se der stadigvæk er nogen der formår at stille de relevante spørgsmål. Overskriften på artiklen er vildledende ligesom artiklen er det selv. Bitcoin stigninger sker på ligefod med stigninger i alt anden fiat valuta eller handel med ædelmetal prisen stiger og daler afhængigt af efterspørgsel og volume i omløb ikke pga. der er nogen der vælger at betale for at have inficeret deres maskine med Ransomware.

John Lucas

For lige at jævne propaganda artiklen ud til de nysgerrige sjæle som ikke er blevet skræmt væk fra crypto valuta: Mand køber for $27 bitcoins, glemmer dem og finder ud af de er $866.000 værd.

http://www.theguardian.com/technology/2015/dec/09/bitcoin-forgotten-curr...

Til redaktionen: tror i også bitdefender mener at nedenstående investeringer skyldes Ransomware eller er det på tide at fjerne den her artikel?

www.heavy.com/tech/2014/02/top-5-biggest-bitcoin-transactions-purchases-...

Log ind eller opret en konto for at skrive kommentarer

JobfinderJob i it-branchen