Utpressingsvirus er i vinden som aldri før blant i de cyberkriminelle miljøene, men samtidig har også kampen mot fenomenet blitt trappet kraftig opp. Et relativt nytt utbrudd av et farlig løsepengevirus har nå faktisk resultert i arrestasjoner.
Den franske avisen France Inter (via ZDNet) rapporterer at flere personer tilknyttet et løsepengevirus ved navn Egregor nylig ble pågrepet av politiet i Ukraina.
Utpressingsvirus som tjeneste
Arrestasjonene skal være resultatet av en langvarig etterforskning og samarbeid mellom politiet i Ukraina og Frankrike, og Europol og andre institusjoner var også involvert i arbeidet.
Egregor tilhører den såkalte «Ransomware-as-a-service»-typen av løsepengevirus , som innebærer at programvaren «leies» ut til andre aktører som betaler bakmennene en andel av løsepengesummene for bruken av tjenesten.
Det er uvisst akkurat hvor mange personer som ble arrestert, og hvor sterkt tilknytning disse eventuelt har til selve utviklingen og driften av programvaren.
Ifølge France Inter skal personene imidlertid ha vært ansvarlige for flere av de store angrepene som er blitt utført med Egregor-programvaren den siste tiden. Blant disse var et større angrep mot det store franske dataspillselskapet Ubisoft.
Programvaren ble først oppdaget i september i fjor, og er dermed ganske ny. Det amerikanske etterforskningsbyrået FBI publiserte et notat om viruset i januar hvor de blant annet opplyser at Egregor ikke bare krypterer filene på offerets maskin, men at bakmennene også publiserer stjålne data fra offeret på offentlige lekkasjesider dersom summene ikke betales – en strategi som blir stadig mer vanlig.
Aktivt og aggressivt
Sikkerhetsselskapet Coveware publiserte nylig en rapport som viser at Egregor var det nest mest aktive løsepengeviruset i fjerde kvartal i fjor, med en «markedsandel» på over 12 prosent. Viruset skal være blant de mest innbringende i sirkulasjon, og det gjennomsnittlige løsepengekravet skal ligge på 700 000 dollar, et av de høyeste nivåene blant slike virus.
I tillegg praktiserer bakmennene en aggressiv forhandlingsstil. Som sikkerhetsselskapet Kaspersky opplyser i sin tekniske beskrivelse av Egregor gis ofrene kun 72 timer til å ta kontakt før dataene publiseres.
Siden Egregor har mange ulike «kunder» varierer infeksjonsmetodene en del. Ifølge FBI spres den hovedsakelig gjennom phishing – e-poster med ondsinnede vedlegg – og den utnytter også Remote Desktop Protocol eller VPN for å få kompromittere nettverk.
Ifølge sikkerhetsselskapet Malwarebytes er det Cobalt Strike-verktøyet som er den primære distribusjonsmetoden. Cobalt Strike tilbyr programvare som brukes til å emulere angrep for å teste nettverkssikkerhet, men verktøyet har også blitt brukt av ondsinnede aktører.
Nå har bakmennene bak utpressingsvirus begynt å ringe ofre som ikke betaler
