Politiet slår til mod botnets i stor international aktion mod ransomware
NSK har i tæt samarbejde med flere politi- og retshåndhævende myndigheder i Europa og USA foretaget en række aktioner mod flere centrale, organiserede cyberkriminelle og disses IT-infrastruktur. Det er sket i Operation Endgame, hvor politiet har slået til mod botnets, der er blevet brugt som led i organiseret IT-kriminalitet med flere hundrede tusinde ofre på verdensplan, herunder også danske.
I denne uge har internationale politi- og retshåndhævende myndigheder slået til mod flere centrale botnets, som er blevet brugt til at facilitere IT-kriminalitet mod borgere og virksomheder i hele verden. Botnettene er blevet anvendt som faciliterende infrastruktur for særligt ransomware-angreb mod virksomheder.
Et botnet er et it-netværk af tilfældige borgeres og virksomheders computere, der er blevet inficeret med skadelig malware. Det giver bagmændene mulighed for at tage kontrol over computerne og misbruge dem til forskellige former for kriminalitet. Botnets kan eksempelvis anvendes som platform til at udføre ransomware-angreb mod danske virksomheder, eller det kan give adgang til at misbruge adgangsoplysninger gemt på de inficerede computere.
Politimyndighedernes foreløbige undersøgelser i Operation Endgame viser, at botnettene har inficeret flere hundrede tusinde computere på verdensplan.
Som en del af det danske bidrag til Operation Endgame har NSK identificeret de første danske ofre. Disse er blevet kontaktet direkte af NSK. Vurderingen er, at analyse af øvrig data fra operationen vil lede til identifikation af flere danske ofre.
Malwaren kan have medført, at personlige oplysninger, herunder adgangs- og kreditkortoplysninger, kan være blevet stjålet.
(Se nedenfor hvordan du tjekker, om dine oplysninger er blevet stjålet af cyberkriminelle)
Indsats mod et centralt led i kriminalitetskæden
Operationen er primært rettet mod organiserede cyberkriminelle grupper, der står bag kendte botnets, herunder IcedID, SystemBC, Bumblebee, Smokeloader, Pikabot og Trickbot.
Som en del af operationen er politiet lykkedes med at nedtage flere af disse botnets og beslaglægge eller disrupte mere end 100 servere på verdensplan. Data fra disse vil blive brugt i den videre efterforskning af cyberkriminelle netværk.
Derudover har politimyndighederne i forbindelse med operationen fjernet malware fra tusindvis inficerede computere og foretaget anholdelser og ransagninger i Portugal, Holland, Ukraine og Armenien af personer, som efter politiets opfattelse har administreret de omtalte botnets.
Afdelingsleder i NSK, Henriette Erbs, siger:
”Med Operation Endgame har vi ved en række disruptive aktioner målrettet en fælles indsats mod kriminel IT-infrastruktur, som anvendes til blandt andet verdensomspændende ransomware-angreb, der har påvirket tusindvis af borgere og virksomheder. Der er tale om dybt organiserede kriminelle, som samarbejder på kryds og tværs i et specialiseret økosystem. Operationen er derfor et vigtigt skridt i en mere proaktiv og international kamp mod den mest komplekse cyberkriminalitet”.
Ofres computere brugt til kriminalitet, ofte uden deres kendskab
Som en del af operationen henvises der til webportalen www.politie.nl/checkyourhack, hvor du kan tjekke, om dine oplysninger er blevet stjålet af cyberkriminelle som følge af en malware-infektion. Portalen administreres af hollandsk politi.
Her kan du indtaste din email-adresse og dermed tjekke, om denne er blevet fundet som led i efterforskningen.
Afdelingsleder i NSK, Henriette Erbs, opfordrer til, at man benytter sig af denne løsning:
”Det kan være svært at gennemskue, om din computer er blevet inficeret med ondsindet virus og indgår i et botnet – ofte vil du slet ikke bemærke det. Men det kan have store personlige og økonomiske konsekvenser, hvis nogen skaffer sig uberettiget adgang til din computer, da dine data og informationer kan blive brugt til kriminalitet. Generelt vil jeg opfordre til, at man som virksomhed og borger er bevidst om sin digitale sikkerhed og søger hjælp og vejledning hos relevante myndigheder – også inden skaden er sket.”
Hvis du er offer for IT-kriminalitet, kan du anmelde det til politiet på www.politi.dk.
Hvis du konstaterer, at dine oplysninger er blevet stjålet, eller at din computer er inficeret med malware, kan du endvidere kontakte Cyberhotline for digital sikkerhed på tlf. 33 37 00 37 eller orientere dig på www.sikkerdigital.dk/cyberhotline.
Cyberhotlinen kan generelt hjælpe dig med vejledning vedr. it-sikkerhed og forebyggelse af cyberangreb og identitetstyveri.
Fakta om operationen:
I operationen deltog, foruden Danmark, Tyskland, Holland, USA, Frankrig og Storbritannien. Derudover har Ukraine, Portugal, Armenien, Rumænien, Litauen, Bulgarien og Schweiz bistået operationen.
Du kan læse yderligere om operation Endgame og læse bl.a. Europols pressemeddelelse om operationen her.
Du kan også se politiets explainer om operationen her.
NSK har været den primære deltager i den internationale operation og har samarbejdet med Østjyllands Politi, hvor sagen er forankret.
Fakta om botnets:
Hvad er et botnet?
Botnets kan bestå af flere tusinde computere (bots), som er spredt over hele verden og styres fra et centralt kontrolcenter. Fælles for computerne er, at de er inficeret med en ondsindet malware, der giver hackeren mulighed for at fjernstyre og tage kontrol over dem – for eksempel til at udføre et ransomware-angreb mod en virksomhed eller til at stjæle logins eller password-information.
Hvordan indgår botnet i det kriminelle økosystem?
Bagmanden bag et botnet sælger adgangen til enkelte bots eller til dele af botnettet til øvrige kriminelle. Dermed kan andre kriminelle lægge filer og anden virus ind på den inficerede computer. Der kan eksempelvis være tale om ransomware-virus, som krypterer indholdet på den inficerede computer eller anvendes til et ransomwareangreb mod en hel virksomhed, men der kan også været tale om virus, som stjæler oplysninger og løbende sender disse til gerningspersonen.
Hvad kan botnet misbruges til?
Køberen af adgang til botnettet kan udføre et ransomware-angreb imod en virksomhed via en af de inficerede computere. Et ransomware-angreb medfører, at virksomhedens data bliver krypteret eller stjålet. Gerningspersonen afpresser herefter virksomheden for et stort pengebeløb for at dekryptere og undlade at offentliggøre virksomhedens data.
Derudover kan køberen af et botnet få adgang til gemte kodeord på den inficerede computer, hvilket blandt andet kan anvendes til økonomisk afpresning af borgere.
Hvordan bliver en computer inficeret?
Oftest bliver en computer inficeret med malware gennem phishing, hvor ofret får tilsendt en mail, der enten indeholder en vedhæftet fil med malware eller et link til en hjemmeside med malware, som bliver downloadet. Det er ganske almindeligt, at ofret ikke opdager, at computeren bliver inficeret med malware.