Nodabase.net

Utpressningsvirusen

Description

Dagens Nyheter granskade hjärnorna bakom de utpressningsvirus (ransomware) som under året slog mot svenska datoranvändare.
* DN kunde avslöja att attackerna, som drabbat flera länder, utfördes av en och samma liga. Det framkom efter avancerad kartläggning av loggfiler från hackade servrar och flöden av gisslanpengar, ett arbete som polisen hade undlåtit att göra.
* Genom att spåra pengarna genom Bitcoin-nätverket, kunde vi visa hur den kriminella ligan tjänade mångmiljonbelopp på sin verksamhet.
* DN kunde lokalisera bedragarna till en kuststad i östra Ukraina som attackerna styrdes från.
* Minst 80 myndigheter och 130 kommuner har fått sina filer tagna som gisslan. Myndigheters it-system har legat nere i upp till en vecka efter attackerna.

Artiklarna fick stor uppmärksamhet i Sverige.

Uppföljande artiklar:
http://www.dn.se/nyheter/sverige/alla-anmalningar-om-utpressningsvirus-laggs-ned/
http://www.dn.se/nyheter/sverige/myndigheter-och-kommuner-drabbade-av-utpressningsvirus/

Origin

Våra källor i it-säkerhetskretsar utmålade detta som ett akut och växande problem, samtidigt som polisen stod handfallen och kunskapen var mycket låg bland allmänheten.

Samtidigt fick vi höra otaliga historier från drabbade människor om smärtan att förlora sitt digitala liv. En läsare beskrev hur bröllopsfilmen med hans döda fru togs som gisslan av viruset.

Vi ville använda våra kunskaper i dataanalyser för att beskriva och granska utpressningsvirusen.

Data

* Hundratals av bedragarnas falska mejl samlades in och analyserades. Analyserna gjordes huvudsak i Excel och SQL. Det gav en bild av hur angriparna hackade webbservrar i hela världen och använde dem för att sprida utpressningsviruset.
* Via våra kontakter i it-Sverige fick vi tillgång till servrarnas loggar och programkod. Materialet avslöjade ligans metoder och hur de skyddade sin identitet. Men där fanns också spår som entydigt visade att attacken styrdes från den ukrainska staden Mariupol.
* Vi lät också en egen dator infekteras i syfte att kunna spåra gisslanpengarna. En mindre summa betalades i bitcoinvaluta. Därefter kunde vi iaktta hur de flyttades genom bitcoinnätverket fram till ett uppsamlingskonto. Där kunde vi se hur flera miljoner kronor från hundra- eller tusentals drabbade personer hade betalats in.
* Både granskningen av servrar och spårningen av bitcoin kräver stor teknisk kunskap. Granskningen genomfördes tack vare att vi båda har lång erfarenhet av programmering.

Resources

Två reportrar, Linus Larsson och Kristoffer Örstadius, genomförde granskningen. Den tog några veckor att genomföra.

Impact

Reaktionerna har varit många. Ett Malta-baserat säkerhetsföretag, som lett arbetet med internationella analyser av utpressningsvirus, hörde av sig till Dagens Nyheters redaktion. De visade intresse för vår granskning och ville ta del av våra fynd i analyserna av hackade servrar.

Avslöjandena fick stor uppmärksamhet i Sverige och blev omskrivet i andra medier. Till exempel bjöd SR:s Studio Ett in oss för att kommentera granskningen, tillsammans med Myndigheten för samhällsskydd och beredskap.

Myndigheten för samhällsskydd och beredskap (MSB) har pekat ut utpressningsvirus som ett av de stora hoten på internet idag. De visade också stort intresse för DN:s uppgifter. Likaså Postord, ett av de företag i Sverige som utnyttjats som användare i utpressningskampanjer. Det starka gensvaret beror inte minst på att de spårningar vi utförde helt hade missats av polisen. Varken pengaflöden eller angriparnas hackade servrar hade genomlysts av myndigheter innan vi fick tillgång till dem.

Obstacles

Den var komplicerad att utföra på grund av tekniska utmaningar. Granskningen bygger på mycket avancerad teknisk analys som aldrig tidigare har använts av journalister i Sverige. Vi har sökt upp och fått tillgång till ligans internetinfrastruktur, granskat dess kod och spårat bitcoinbetalning. Enbart bitcoinspårning krävde en hel del research för att göra.

Go to case website
Built on WordPress by Smart Media AS