Europol ondersteunt FBI en NCA bij jacht op Dridex-malware

Europol, de Britse National Crime Agency en de FBI proberen samen de Dridex-malware onschadelijk te maken. Middels deze malware is in het Verenigd Koninkrijk volgens een schatting van de instanties al 20 miljoen pond, omgerekend ongeveer 27 miljoen euro, gestolen.

Europol heeft bekendgemaakt dat zijn divisie European Cybercrime Centre de ondersteuning zal geven aan de Britse en Amerikaanse diensten. Dridex, malware die het gemunt heeft op bankgegevens en verspreid wordt door middel van phishingmails, zou zijn ontworpen door een groep criminelen uit Oost-Europa en lijkt met name actief te zijn in het Verenigd Koninkrijk. Geïnfecteerde computers worden onderdeel van een botnet.

De malware werd voor het eerst ontdekt in november 2014, schrijft beveiligingsexpert Mithun Sanghavi. De aanvallers infecteren computers na het openen van een Word- of Excel-document, dat een payload bevat die de malware downloadt. Infectie kan alleen plaatsvinden als gebruikers macro's in de Microsoft-software hebben geactiveerd. Eenmaal besmet krijgen de criminelen vrijwel volledige controle over het systeem.

Het European Cybercrime Centre is bezig om samen met de Joint Cybercrime Action Taskforce (J-CAT) en de NCA een dns sinkhole op te zetten. Geïnfecteerde computers kunnen daardoor niet meer communiceren met hun command and control-server. Dat maakt de malware onschadelijk en kan de instanties mogelijk inzicht geven in de opbouw en oorsprong van het botnet. Ook de FBI is bezig met een eigen sinkhole-operatie in de VS.

Volgens Europol is de samenwerking met NCA en FBI onderdeel van een grotere campagne tegen meerdere versies van Dridex en de criminelen achter de malware. Zij zouden opereren in 'delen van de wereld die moeilijk bereikbaar zijn'.

Forbes schrijft dat Dridex nu in de schijnwerpers van de diensten staat vanwege een flinke toename van activiteiten de afgelopen maanden. In augustus werd Andrey Ghinkul, ook bekend onder de naam Smilex, gearresteerd op Cyprus. Hij wordt ervan verdacht de administrator van het Dridex-botnet te zijn; de VS vraagt om zijn uitlevering.

De groepering achter Dridex zou zichzelf Evil Corp noemen en zou nauwe banden onderhouden met de criminelen achter het Cryptolocker-botnet. Dat botnet werd ontmanteld, maar Evgeniy Bogachev, die gezien wordt als het brein achter de operatie, is nog altijd op vrije voeten. De FBI heeft nog altijd een beloning van maximaal drie miljoen dollar over voor informatie die kan leiden tot zijn arrestatie of veroordeling.

Reacties (29)

Maurits van Baerle 14 oktober 2015 14:23

Het interessante aan Dridex is dat het lang onopgemerkt kan blijven. In plaats van een rekening leeg plunderen boeken ze juist alleen maar kleine bedragen af (maar wel bij een heleboel mensen zodat de opbrengst aanzienlijk is).

Het voordeel is dat veel mensen het niet opvalt als er wat geld mist en bovendien de systemen van banken die speuren naar verdachte transacties minder snel alarm slaan.

[Reactie gewijzigd door Maurits van Baerle op 22 juli 2024 20:37]

Verwijderd @Maurits van Baerle • 14 oktober 2015 16:55

Ik weet niet hoe je daar bij komt maar Dridex had juist de focus op hele grote bedragen in plaats van consumenten aan te vallen lag de focus op bedrijven, de kleinste bedragen waar ze interresse in hadden waren om en nabij $5000.
Maar doorgaans ging het om bedragen van tonnen tot enkele miljoenen.

PS: Dat kleine bedragen wegboeken werkt allen in films

[Reactie gewijzigd door Verwijderd op 22 juli 2024 20:37]

Maurits van Baerle @Verwijderd • 14 oktober 2015 18:01

Interessant, ik vroeg me af of ik in de war was met andere malware. Het blijkt dat de bronnen tegenstrijdig zijn. Sommigen zeggen inderdaad dat het doel bedrijven zijn die veel grote wire-transfers doen, anderen zeggen juist kleine bedragen.

Verwijderd @Maurits van Baerle • 14 oktober 2015 20:36

Ja ook journalisten lezen niet goed of zoals in het geval van de BBC quoten ze mensen die niks met het onderzoek te maken hadden.
Je kunt de voorledige aanklacht, waar ook wat bedragen in staan, hier inzien:
http://www.justice.gov/opa/file/783081/download

Tribits @Verwijderd • 14 oktober 2015 23:20

Even snel doorheen gebladerd. Met name punt 30 tot en met 36 bespreken wat specifieke gevallen waaronder een poging om 999.000 dollar van een school over te boeken en de diefstel van 2,16 en 1,35 miljoen van een oliemaatschappij.

Het artikel van de BBC gaat vooral in op de technieken die fraudeurs gebruiken om de automatische detectie systemen van banken te omzeilen. Het lijkt meer op generieke speculatie dan dat het zich specifiek op dit geval richt. Aan de andere kant is het niet uitgesloten dat de aanvallers verschillende technieken hebben gebruikt voor verschillende banken of rekeningen, met als doel hun buit te maximaliseren zonder ontdekt te worden.

[Reactie gewijzigd door Tribits op 22 juli 2024 20:37]

Verwijderd @Tribits • 15 oktober 2015 01:34

Nou ik kan je met zekerheid vertellen dat dit wel is uit te sluiten

FreezeXJ @Maurits van Baerle • 14 oktober 2015 15:16

Van de andere kant, nu ongeveer alle inlichtingendiensten achter hun C&C-servers aan zitten is de kans klein dat ze er lang lol van hebben. Ook banken zullen inmiddels een mooie set rekeningen hebben waar geen automagische overschrijvingen meer naartoe mogen, dus ze zullen nu weer met iets nieuws moeten komen.

Blokker_1999

Malware
Beveiliging en antivirus

@Maurits van Baerle • 14 oktober 2015 15:31

Oh, die film heb ik ook gezien: Entrapment.

Benieuwd of die als inspiratie heeft gediend.

DonLexos @Maurits van Baerle • 14 oktober 2015 15:46

Edit: nevermind . . cryptolocker kloon, geen bank kloon, ik had niet alles gelezen

[Reactie gewijzigd door DonLexos op 22 juli 2024 20:37]

cariolive23 14 oktober 2015 22:54

27 miljoen euro

Leuk bedrag, wel raar dat dit zomaar door de mazen van de toch wel ergens aanwezige fraudedetectie kan glippen. Of hebben ze daar na de gigantische verliezen van 2008 en 2009, nog steeds hun zaakje niet op orde? 2014 was ook niet al te best, liet ook al weer een flinke stijging zien.

Op online banking zijn ze de eerste 6 maanden al 51,2 miljoen pond kwijt geraakt, bijna 70 miljoen euro. In Nederland maar 3,1 miljoen euro, dat is wel een erg groot verschil en kan niet alleen worden verklaart doordat ze meer inwoners hebben.

Tribits @cariolive23 • 14 oktober 2015 23:40

Het BBC artikel wekt de suggestie dat ze bij de transactie er zorg voor hebben gedragen de fraudedetectie systemen niet te activeren. De aanklacht van het Amerikaanse ministerie van justitie meldt nog specifiek het gebruik van 'money mules' en onbekende handlangers. Mogelijk werden dus vrij normale bedragen overgeboekt naar rekeningen in het westen die in handen waren van handlangers die de winst dan weer doorsluisden naar de leiders van de organisatie. Voor een fraudedetectiesysteem is het dan vrijwel onmogelijk om alarm te slaan.

De verschillen in de bedragen die met fraude gemoeid worden zijn inderdaad wel fors. Even aangenomen dat ze de zelfde manier van meten gebruiken (en dus dezelfde definitie van 'kwijt geraakt') kan ik me indenken dat in bepaalde landen nog veel gebruik wordt gemaakt van wachtwoorden voor het beveiligen van online bankrekeningen. Met zoiets als de Raboscanner lijkt het me toch vrijwel onmogelijk dat er op een dergelijke manier fraude wordt gepleegd, hoewel het met de voorloper daarvan nog wel mogelijk was om met behulp van een trojan de gebruiker zover te krijgen transactiecodes te genereren voor frauduleuze transacties.

cariolive23 @Tribits • 15 oktober 2015 00:20

Het BBC artikel wekt de suggestie dat ze bij de transactie er zorg voor hebben gedragen de fraudedetectie systemen niet te activeren.

In dat geval zou het moeten gaan om een detectiesysteem dat actief is op de geïnfecteerde computer. Het is een beetje dom om daarop te vertrouwen, het systeem is geïnfecteerd. En dat is nu nét het probleem...

De aanklacht van het Amerikaanse ministerie van justitie meldt nog specifiek het gebruik van 'money mules' en onbekende handlangers.

Dat is toch niets bijzonders, zolang er fraude bestaat, wordt er al van money mules gebruik gemaakt.

Mogelijk werden dus vrij normale bedragen overgeboekt naar rekeningen...

Maar is dat wel zo? Zijn dat wel zulke normale bedragen? Ik betaal iedere maand dezelfde rekeningen en slechts maar heel zelden een rekening die nieuw is voor mij. Maar dat is dan wel weer een rekening van een groot bedrijf die zeker geen money mule is.

Voor een fraudedetectiesysteem is het dan vrijwel onmogelijk om alarm te slaan.

Ook daar geloof ik niets van. Ik geloof niet dat deze fraude niet is te detecteren. Het is 2015, iedereen heeft de mond vol van BigData, machine learning en artificial Intelligence, dan moet je toch ook wel zoiets als een money mule kunnen detecteren?

Met zoiets als de Raboscanner lijkt het me toch vrijwel onmogelijk dat er op een dergelijke manier fraude wordt gepleegd, hoewel het met de voorloper daarvan nog wel mogelijk was om met behulp van een trojan de gebruiker zover te krijgen transactiecodes te genereren voor frauduleuze transacties.

Zolang gebruikers blindelings alles uitvoeren waar de computer om vraagt, denk ik niet dat deze scanner heel veel veiliger is. Het grootste risico is de gebruiker en dat is met die nieuwe scanner niet anders. Al wordt het misschien wel iets moeilijker gemaakt.

Ik betaal nog met een userid en wachtwoord, that's it...

Tribits @cariolive23 • 15 oktober 2015 00:38

[...]
In dat geval zou het moeten gaan om een detectiesysteem dat actief is op de geïnfecteerde computer. Het is een beetje dom om daarop te vertrouwen, het systeem is geïnfecteerd. En dat is nu nét het probleem...

Ik weet niet waar je die conclusie vandaan haalt, een extern fraudedetectiesysteem heeft ook een bepaald algoritme en als je door eerdere ervaringen ongeveer weet hoe dat algoritme in elkaar steekt dan weet je ook hoe je er voor moet zorgen dat je het niet activeert.

[...]
Dat is toch niets bijzonders, zolang er fraude bestaat, wordt er al van money mules gebruik gemaakt.

Ik noem het niet bijzonder, en voer het niet aan als bewijs. Ik zeg slechts dat het een bijdrage geleverd zou kunnen hebben aan het onopgemerkt blijven waar de BBC het over heeft.

[...]
Maar is dat wel zo? Zijn dat wel zulke normale bedragen? Ik betaal iedere maand dezelfde rekeningen en slechts maar heel zelden een rekening die nieuw is voor mij. Maar dat is dan wel weer een rekening van een groot bedrijf die zeker geen money mule is.

Het basisprincipe van een mule is dat je er veel van gebruikt en ze daardoor makkelijk af te schrijven zijn op het moment dat ze geïdentificeerd worden. Bovendien is slechts van een klein deel van het totaalbedrag bekend dat het om grote bedragen ging. Ik heb nergens gelezen dat deze groep alleen grote bedragen weg boekte. Bedragen die de gemiddelde gebruiker gewoon met enige regelmaat, ook naar minder bekende rekeningen, overboekt.

[...]
Ook daar geloof ik niets van. Ik geloof niet dat deze fraude niet is te detecteren. Het is 2015, iedereen heeft de mond vol van BigData, machine learning en artificial Intelligence, dan moet je toch ook wel zoiets als een money mule kunnen detecteren?

Je hebt het over 'een money mule' in de praktijk is al aangetoond dat er een levendige handel is in bankrekeningen inclusief pas voor frauduleuze doeleinden. Een enkele money mule zal al snel in het oog lopen, een netwerk van honderden mules zal een stuk lastiger te doorgronden zijn, vooral als het ook nog met enige regelmaat van samenstelling verandert. Dat is nu net het concept van een mule, een lastdier dat je af kan danken als het bezwijkt onder het gewicht.

[...]
Zolang gebruikers blindelings alles uitvoeren waar de computer om vraagt, denk ik niet dat deze scanner heel veel veiliger is. Het grootste risico is de gebruiker en dat is met die nieuwe scanner niet anders. Al wordt het misschien wel iets moeilijker gemaakt.

Deze scanner geeft op het scherm van de scanner zelf aan voor welke transactie een code gegenereerd zal worden en vraagt de gebruiker daarna om goedkeuring. Voorgaande trojans vertrouwden op misleidende informatie op het scherm van de computer zelf. Als je een gebruiker zo gek krijgt op zijn scanner een ok te geven voor een transactie naar Igor in Kazachstan dan zal het wel werken, maar anders niet.

NotLikeTheOther 14 oktober 2015 14:34

Grappig, deze hebben we al een aantal keer binnengekregen

Erg leuk om te zien wat het doet in een gesloten omgeving

segil @NotLikeTheOther • 14 oktober 2015 15:42

Vertel, ik ben benieuwd!

NotLikeTheOther @segil • 14 oktober 2015 16:02

Het laat zichzelf binnen door de gemiddelde gebruiker. Het enige wat je hoeft te doen is de macro laten uitvoeren waardoor de main payload binnengehaald word (Trojan). Leukste is dat het niet via een of ander obscuur lek in je OS (uitsluitend Windows!) gaat

Vervolgens word je verkeer gewoon gelogd en kan het zelfs screenshots maken van je browservenster. Het houd zelfs je toetsaanslagen bij en je social media gegevens.

Hier wat meer over het beestje en de verschillende versies:
https://www.fireeye.com/b.../evolution_of_dridex.html

CMD-Snake @NotLikeTheOther • 14 oktober 2015 17:25

Infectie via een macro in een Office document. Voelt net alsof je weer terug bent in de jaren '90.

Toch staat tegenwoordig standaard bij Office macro's uitgeschakeld of heel erg beperkt. Bij bestanden afkomstig van mail/internet blokkeert Word tegenwoordig praktisch helemaal en opent in een read modus waarin ook macro's uitgeschakeld zijn. Ze moeten dus wel hopen op een gebruiker die praktisch elke vorm van beveiliging uit heeft staan en ook nog goedgelovig is om elke bijlage uit een onbekende bron te openen.

NotLikeTheOther @CMD-Snake • 14 oktober 2015 18:42

Klopt, helaas zijn veel gebruikers (ja ook binnen bedrijven) vaak erg gevoelig voor dit soort dingen. Het is maar 1 klik en je macro's staan weer aan...

Tribits @NotLikeTheOther • 14 oktober 2015 23:26

Of zoals ik zelf wel eens mee heb gemaakt bij een middelgroot bedrijf: een hoofd automatisering die weinig inzicht heeft in de gevaren of het gewoon allemaal niet zo boeiend vindt gecombineerd met een gebruikersorganisatie die eigenlijk te veel macht heeft en al die beperkingen als ongewenst bestempeld. Dan kan je als IT'er ook weinig anders doen dan ze op de gevaren wijzen en fijntjes herinneren aan de problemen met macro en scripting virussen rond de eeuwwisseling. Aangezien ze zich daar niets van kunnen herinneren helpt dat dan helaas ook weinig. Uitermate teleurstellend, maar soms helaas ook de trieste waarheid.

StGermain @NotLikeTheOther • 14 oktober 2015 16:53

Dus eigenlijk download het enkel de Trojan of wordt die ook uitgevoerd en komt UAC daarbij niet in actie?

NotLikeTheOther @StGermain • 14 oktober 2015 18:43

Als je het linkje in mijn eerdere post volgt word je haarfijn uitgelegd wat het doet

[Reactie gewijzigd door NotLikeTheOther op 22 juli 2024 20:37]

StGermain @NotLikeTheOther • 14 oktober 2015 22:37

Ehm neen... ik zie dat het iets download en misschien ook uitvoert, daarom vraag ik aan jou want bent het blijkbaar al tegengekomen volgens de eerste posting in deze thread?

IxFail NL 14 oktober 2015 15:49

Het is nooit leuk als je malware hebt, maar ik moet toegeven ik vindt het altijd nog wel mooi/knap om te zien hoe het te werk gaat.

Ome Ernst 14 oktober 2015 15:59

Hmmm, bij Evil Corp denk ik eerder aan Mr. Robot....

WK100 14 oktober 2015 19:37

Toevallig gisteren zo'n melding in mijn IPS tegengekomen. Precies de signature die hier gemeld staat; Microsoft Office macro in Word-bestand, auto-executable debugger aanwezig. De download werd gepackt met een aantal executables, maar deze aanval is gelukkig afgeweerd door mijn IPS.

Voor de netwerkadmins/sysadmins onder ons, het IP-adres waar mijn IPS alarm op sloeg is [192.16.52.7]. Deze zou ik dus in de blocked-table toevoegen om een stukje narigheid te voorkomen.

BRAINLESS01 @Verwijderd • 14 oktober 2015 14:35

Heb je het artikel wel gelezen? Ze hebben de cryptolocker (die toch vooral tegen burgers actief was) ontmanteld en zijn nu bezig met het ontmantelen van het Dridex netwerk dat zich ook vooral op burgers lijkt te richten. Dat het geld bij een bank staat lijkt mij redelijk vanzelfsprekend, maar het zijn niet de banken die aangevallen worden.

Wees blij dat ze er wat aan proberen te doen!

Verwijderd @BRAINLESS01 • 14 oktober 2015 17:30

Ritchie007 heeft in zoverre gelijk dat Dridex zich juist alleen op instellingen richt.
Alleen is het onzin dat er met andere cases waar doorsnee burgers worden aangevallen niks gedaan word.

Mischien had je de aanklacht even moeten lezen dan had je gezien dat het om miljoenen transacties gaat

Iblies @Verwijderd • 14 oktober 2015 22:10

Gezien de bedragen vind ik het toch ook vrij apart dat 3 internationale instanties hun krachten bundelen om dit te stoppen.

Of het bedrag is hoger dan wordt vermeld,
of er zit een kern van waarheid in het verhaal van Ritchie. Grotere instanties, waaronder de overheid ook valt, zijn ook geraakt waardoor het sneller wordt opgepakt. En het blijft gissen, maar als daar ministeries onder vallen zou me dat niet verbazen.

Andere issues vallen hierbij in het niet. Een dat heel lang speelt is de nigerian scam, de schattingen lopen hierover uiteen van 1 tot 2 mld. In Nederland gaat het over duizenden euro's zoniet miljoenen per jaar. Het is meer richting oplichting dan afpersing, maar de gevolgen zijn niet mals.

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (29)

Sorteer op:

Weergave: