I sin nyeste kvartalsrapport om den globale situasjonen innen IT-sikkerhet, har Panda Software lagt inn en gjennomgang av standardsatsene blant undergrunnens hackere for forskjellige typer datakriminalitet.

Tjenestene tilbys av kriminelle som har bygget opp zombie-nett («botnet») av PC-er verden over. Dette er PC-er som er infisert av en eller flere trojanere, og som kan fjernkontrolleres av hackere.

Det antatt største zombie-nettet er bygget opp av den såkalte «Storm»-ormen, og skal omfatte et sted mellom 1 og 10 millioner zombie-PC-er.


De typiske tjenestene, ifølge Panda, er tjenestenektangrep (DDoS for «distributed denial of service»), masseutsending av e-post («spam»), kopier av lister over e-postadresser, kopier av data fanget opp gjennom bruk av ondsinnet kode, og forskjellige typer ondsinnet kode til eget bruk. Det er også utbredt med bestillingsoppdrag.

Tjenestenektangrep er en svært rimelig tjeneste.

Et prøveangrep på ti minutter kan gjerne tilbys gratis, som bevis på hva hackeren er i stand til å gjennomføre. Standardsatsene er ellers avhengig av hvor lenge angrepet skal vare:

• En time koster mellom 10 og 20 dollar
• To timer koster mellom 20 og 40 dollar
• Ett døgn koster rundt 100 dollar
• For mer enn ett døgn er satsen fra 200 dollar og oppover

Spam er også svært rimelig å få utført.

Panda skriver at en spamserver kan leies for 500 dollar. Utsending av over 10 millioner meldinger per dag kan koste rundt 600 dollar.

Trenger du e-postadresser for å tilby varer og tjenester, eller for å få hjelp til å frigi en formue i en bank i Nigeria? Du kan spesifisere om du vil nå mottakere i for eksempel USA, Tyskland, Russland eller Ukraina. Satsene er de samme:

• 1 million e-postadresser koster 100 dollar
• 3 millioner e-postadresser koster 200 dollar
• 5 millioner e-postadresser koster 300 dollar
• 8 millioner e-postadresser koster 500 dollar
• 16 millioner e-postadresser koster 900 dollar
• 32 millioner e-postadresser koster 1500 dollar

Den billigste måten å få tak i andres personopplysninger på, er å kjøpe fangstlogger fra zombie-nett. Da får man en hellig blanding av e-postadresser, kredittkortinformasjon, referater av banktransaksjoner, passord, brukernavn og så videre.

Ifølge Panda er standardsatsen 30 dollar for 50 megabytes.

Regner man 2500 tegn per A4-side med tekst, tilsvarer dette 20.000 sider. Det betyr at du må selv utvikle verktøy for å avdekke et eventuelt gullfunn.

Oppdragshacking finnes det ikke standardsatser på. Typiske oppdrag er å fange opp FTP-kontoer eller e-postkontoer, eller å få bestemte selskapers servere til å knele.

Noen undergrunnshackere har spesialisert seg på å lage falske dokumenter, som pass, arbeidstillatelser eller førerkort. De som driver det lengst, kan tilby å lage falske kredittkort med utgangspunkt i data fanget opp gjennom zombie-nett.

Ondsinnet programvare selges også åpent.

Verktøypakken Mpack som kan brukes mot kjente sikkerhetshull og til å legge infiserende kode på nettsteder, koster 1000 dollar.

Limbo, et driftsverktøy for zombie-nett, koster typisk 500 dollar.

Angrepsverktøyet Dream System, som får servere til å knele, omsettes for 750 dollar.

Hvis du vil starte som hacker på egen hånd, kan du investere i utviklingsverktøy for ondsinnet kode. Typiske eksempler er trojanerverktøyet Pinch – den vil koste deg 30 dollar per trojaner – og Joiner som lar deg skjule eksekverbare filer på PC-ene du oppnår herredømme over. Den koster 30 dollar.

Hele rapporten er tilgjengelig fra Pandas nettsted: Quarterly Report Pandalabs (April – June 2007).