De recente stroom van politievirussen is het werk van een Russische bende die over een groot aantal pornosites beschikt en gebruikt om internetgebruikers te infecteren. Dat meldt het Japanse anti-virusbedrijf Trend Micro in een nieuw rapport. De ransomware vergrendelt de computer en bepaalt aan de hand van de locatie wat voor waarschuwing het aan slachtoffers moet laten zien.
De inhoud van het bericht is altijd hetzelfde, namelijk dat de gebruiker illegale activiteiten heeft uitgevoerd en zo'n 100 euro boete moet betalen.
Campagne
Trend Micro ontdekte twee groepen die verschillende partnerprogramma's hebben, waarbij ze anderen betalen voor het installeren van de ransomware. "Elke groep valt andere landen aan, en gebruikt lokaal beschikbare betaalmethoden", zegt onderzoeker Loucif Kharouni. Het gaat dan om betaalmethoden zoals Ukash of Paysafe. Ook de gebruikte Trojaanse paarden zouden verschillen.
De hele campagne zou echter het werk van één Russisch-sprekende bende zijn, vermoedelijk uit Rusland of de Oekraïne. De bende gebruikt een netwerk van bullet proof hosting voor het hosten van de Command & Control-servers. Daarnaast zou de groep ook bij andere malware-campagnes betrokken zijn, zoals Carberp, Zeus, TDSS rootkit en de FakeAV nep-virusscanner.
Pornosites
Kharouni ontdekte dat de bende ook over talloze pornosites beschikt die vermoedelijk gebruikt zijn om gebruikers te infecteren. Ook de partners van de bende die voor een vergoeding de ransomware onder bezoekers verspreiden zijn voornamelijk actief in de porno-industrie. "De systemen van gebruikers werden geïnfecteerd na het bezoeken van de pornosite van een partner", stelt de onderzoeker.
De ransomware haakt daar op in door te laten weten dat de gebruiker illegaal materiaal heeft bekeken en nu een boete moet betalen. De eigenaar van de pornosite krijgt vervolgens een deel van de opbrengsten. "Hoewel pornosites de voornaamste link in deze campagne zijn, is het Trojaanse paard ook via andere websites verspreid", merkt Kharouni op.
Deze posting is gelocked. Reageren is niet meer mogelijk.