Botnet-banditter bak lås og slå

Botnet-banditter bak lås og slå

Ansatte i tidenes skurkeselskap arrestert etter Operation Ghost Click. Sjekk om du er infisert.

Amerikanske FBI, i samarbeid med blant andre estlandsk politi og it-sikkerhetsselskapet Trend Micro, har gjort tidenes største fangst.

Selskapet Rove Digital, som holdt til i Estland, drev omfattende og avansert datakriminalitet bak skjul av å være en vanlig it-bedrift.

Ifølge en pressemelding fra Trend-Micro, som lenge har observert gjengens aktiviteter, skal skurkene ha tjent over 14 millioner dollar med skadevaren sin siden 2007.

Totalt seks estlendere og èn russer ble arrestert og siktet da politiet i Estland aksjonerte mot datagjengen onsdag 9. november. Detaljer rundt den to-år lange etterforskningen som førte til aksjonen er tilgjengelig på FBI.gov

Massivt botnet

Gjennom å infisere rundt 4 millioner pc-er i over 100 land rundt om i verden med skadevare skapte skurkene et massivt botnet av zombifiserte datamaskiner. Gjennom en serverpark på over 100 kommando- og kontrollservere hadde gjengen full kontroll over de infiserte pc-ene.

Skadevaren virket på en slik måte at pc-ene fikk endret DNS (Domain Name Resolution)-oppsettet så brukerne fikk nettrafikken rutet via gjengens egne servere. Trafikken kunne dermed rutes til falske nettsteder eller sende reklame tilbake til den infiserte pc-en, og slik tjente gjengen mye av pengene de fikk inn.

Lot som de var et it-selskap

- Rove Digital er tilsynelatende et lovlydig i-selskap basert i Tartu, med et kontor hvor mennesker går på jobb hver morgen, sier Rik Ferguson, forskningsleder ved Trend Micro i pressemeldingen.

Den lovlydige fasaden var imidlertidig bare et skalkeskjul, og fra selskapets kontorer ble millioner av infiserte pc-er satt til i arbeid av gjengen.

- Alt vi har sett tyder på at Rove Digital bedriver datakriminalitet på en stor skala, sier Ferguson.

Han legger til at Trend Micro identifiserte Rove Digitals skumle hensikter på et tidlig tidspunkt, og fortsatte å holde et øye på gjengen frem til 8. november i år.

Detaljert beskrivelse av arbeidet og rundt Rove Digitals ulovlige aktiviteter kan leses i en bloggpost fra Trend Micro.

Er du rammmet?

Ferguson har skrevet en artikkel om hvordan du kan sjekke om du er uvillig blitt en del av gjengens botnet.

  • På Windows-baserte pc-er må du åpne startmenyen, skrive "cmd" i søkeboksen og trykk enter.
  • I vinduet som åpnes, skriv "ipconfig /all" og trykk enter.
  • Se etter linjen hvor det står "DNS Servers" og skriv ned de ip-adressene som står der
    (For eksempel 192.168.0.1)

Mac-er er heller ikke trygge, men prosessen er litt lettere:

  • På Mac-er må du klikke på Apple-ikonet på menylinjen i øverste venstre hjørne og klikke på valget "Systemvalg".
  • Klikk deretter på "Nettverk".
  • Velg den aktive nettverkstilkoblingen (den grønne) og skriv ned ip adressen som står der.

Til slutt må du peke nettleseren til dette verktøyet fra FBI, skrive inn ip-adressen du noterte og klikk på "Check IP".

Les om: