Click Accept pentru a primi notificări cu cele mai importante știri!
Unul dintre serverele folosite pentru a infecta utilizatorii cu virusul “Poliţia Română” a fost identificat în România, o sursă de venit care a adus hackerilor aproximativ 160.000 de dolari.
Serverul localizat în Bucureşti a fost identificat şi dezafectat de Inspectoratul General al Poliţiei Române, iar informaţiile extrase au fost incluse într-un program de colaborare tehnică la care au participat echipe din Poliţie şi Bitdefender.
Rezultatele investigaţiei, care a luat în calcul activitatea înregistrată pe server în perioada 1 mai–26 septembrie 2013, arată că virusul ICEPOL (cunoscut sub denumirea de “Poliţia Română”), distribuit de centrul de control din România, a fost instalat cu succes pe 267.786 de calculatoare, dintre care 8.881 erau localizate în România. Suma totală obţinută de escroci în perioada studiată se ridică la 158.376 de dolari, cei mai mulţi bani au provenit din SUA (32.176 de dolari), iar din România câştigurile s-au ridicat la aproximativ 2.500 de dolari.
Mecanismul de generare de venituri
Serverul de comandă şi control (C&C) localizat în România face parte dintr-o reţea mai amplă de servere ce distribuie virusul ICEPOL şi care poate ajunge la câteva zeci de astfel de centre de C&C la nivel global. Cel din România comunica iniţial cu un server localizat în Olanda, închis în vara trecută de autorităţile olandeze. Ulterior locul acestuia a fost luat de un altul, aflat în Germania.
Cum să-ţi scoţi Poliţia Română din calculator
Banii erau generaţi prin două mecanisme:
1. Prin livrarea soft-ului periculos pe calculatoarele utilizatorilor şi solicitarea unei recompense în schimbul deblocării sistemelor
2. Prin campanii de tipul pay per click prin care hackerii generau în mod automat trafic pentru anumite site-uri.
“Lumea criminalităţii informatice pare a fi dezvoltat reţele de distribuţie a viruşilor care funcţionează la fel ca reţelele legitime de livrare de conţinut, inclusiv la nivelul schemelor de distribuţie şi de producere a banilor”, a declarat Cătălin Coşoi, Chief Security Strategist, Bitdefender.
Componenta responsabilă de înregistrare a domeniilor de distribuţie a soft-ului periculos, numită xstats, genera nume de domeniu la cerere, prin înlănţuirea a patru cuvinte dintr-un dicţionar care conţinea 551 de cuvinte cu semnificaţie pornografică, explică experţii Bitdefender.
Adresa IP a noii gazde a fost aleasă dintr-o listă de 45 de adrese de IP-uri unice. Noul nume de domeniu a fost înregistrat automat de un script. Metoda distribuţiei de malware sugerează o schemă de tip piramidal, întrucât serverul analizat de noi descărca fişiere cu malware dintr-un alt domeniu, dar funcţiona în sine ca o locaţie de download de viruşi pentru un număr de sub-afiliaţi.
Odată descărcat de către aceştia, virusul era postat pentru download pe un site pornografic fals, pe o pagină falsă de actualizare a Flash Player sau pe o pagină de antivirus falsă. Aceasta din urmă afişa un mesaj care pretindea că pe calculatorul victimei s-ar fi găsit un număr mare de fişiere infectate, toate găzduite pe domeniile vizitate anterior de utilizator.
Paginile puteau fi accesate de oriunde de pe internet, iar în perioada analizată serverul a înregistrat 267.786 de instalări încheiate cu succes a virusului ICEPOL.
