Egy zsarolóvírus elemzése közben a G DATA biztonsági szakemberei felfedeztek egy bűnszervezetet, amely a zsarolás mellett a webes csalások, támadások széles körű vállfajával foglalkozik, például engedély nélküli kriptobányászattal, adathalász oldalak működtetésével és kriptovaluta csalással.

A G DATA biztonsági szakemberei a GrandCrab zsarolóvírus legújabb változatát elemezték, miközben felfedezték, hogy az IP cím mögötti ember (vagy emberek) egy sor illegális online tevékenységgel igyekszik extra bevételhez jutni. A szakemberek szerint a GranCrab 5-ös verzióját nagy valószínűséggel nem fejlesztője üzemelteti, hanem béreli vagy megvásárolta valaki. (A zsarolóvírusok üzleti modelljéről ebben a cikkünkben írtunk.) A zsarolóvírus mögötti alkalmazás az elemzés időszakában a 92.63.197.48-as IP címmel kommunikált, vagyis ide érkeztek be a megfertőzött gépekről az adatok, illetve innen mentek ki az újabb utasítások.

Csak az egyik lába

A IP címhez tartozó oldalak a Fop Horban Vitalii Anatoliyovic névhez tartoznak – valószínűleg hamis adatokkal állunk szemben. A mélyebb vizsgálat feltárta, hogy a zsarolóvírus-üzlet csak az egyik lába a vállalkozásnak. Ugyanezen az IP címen ugyanis számtalan inaktív társkereső oldal található, de a hamis ajánlatokat kínáló Frim0ney.info is ide tartozik. Az adathalászat is a tevékenységek közé tartozik: a wex.nz Bitcoin tőzsde klónját wex.ac néven működtetik. Egy fórumozó korábban a Bitcointalk weboldalon jelezte, hogy a csaló oldalon egy sor személyes adatát próbálták elkérni azzal a kifogással, hogy az oldal költözik és az új helyen szükség van az adatokra.

Az IP címről egy olyan (.ison) fájlt is megszereztek a szakemberek, mely arra utal, hogy a tulajdonos kriptobányászatot folytat mások engedélye nélkül, mások számítógépét használva. Az még nem tiszta, hogy maga a GrandCrab zsarolóvírus telepítője kriptovaluta bányász alkalmazást is telepít-e a megfertőzött gépre vagy sem. A kriptobányász alkalmazások megfertőzött weboldalakon keresztül is használhatják mások gépeit kriptovaluta generálására. A fájl közel 4000 fertőzött rendszert mutat.

Kriptovaluta csalás

Az IP címek további vizsgálata szerint az üzemeltetők kriptovaluta csalással is foglalkoznak. Mivel 2017-ben a kriptovaluták körül igen nagy médiafelhajtás volt, a csalók ezt a területet is érdemesnek találták lefedni. A csalás lényege: elhitetik az emberekkel, hogy amennyiben 0,5 és 20 ethereum közötti valutát küldenek egy adott címre, akkor cserébe 5-200 Ethereumot kapnak vissza. És igen, van, aki ezt elhiszi.

A bűnözők hagyományos csalásokkal is foglalkoznak: például hivatkozások generálásával emelnek ki egy adott terméket kínáló oldalt a Google keresőben. A vizsgált oldalakra legtöbb esetben a forgalom emailből érkezik, ami arra enged következtetni, hogy kéretlen levelek segítségével növelik az oldalak látogatottságát, és adják el a nem létező termékeket.

Ez az eset is jelzi, hogy a mai kiberbűnözők nem csupán egy kártevőre vagy csalásra szakosodnak, hanem széles portfóliót építenek a különböző támadási módszerekből.