Norge
Datakriminalitet

– Løsepengevirus er blitt en industri på det mørke nettet

Hvordan foregår salg av skadevare på det mørke nettet? Hvem er selgerne, og hvem er kjøperne?

Den egyptiske NTNU-studenten Yara Bayoumy har forsket på løsepengevirus det siste året. Foto: Stein Bjørge

Det har NTNU-student Yara Bayoumy forsøkt å finne svaret på. Hun har beveget seg dypt inn i ulovlige fora på det mørke nettet, der anonymitet og hemmelighold verdsettes høyere enn alt annet.

Bayoumy har kartlagt et marked hvor ulike aktører kjemper om posisjon og kunder. Arbeidet er en del av doktorgradsavhandlingen til seniorforsker Per Håkon Meland, i et samarbeid mellom Sintef og NTNU.

– Vi har sett nærmere på løsepengevirus, en type virus som er brukt med stort hell de siste årene. Det vi ser er at flere utvikler dataangrep til en tjeneste, forklarer hun til Aftenposten.

I fjor omtalte Europol løsepengevirus som en epidemi og den største digitale trusselen.

Dataangrepene og skadevarene selges på det mørke nettet; en samling av flere tusen nettsider som sikrer brukernes anonymitet. På det mørke nettet selges en rekke ulovlige varer og tjenester, blant annet narkotika, våpen, barnepornografi og skadevare.

Det mørke nettets «økosystem»

– Noe av det vi har forsøkt å forstå, er hvordan interaksjonen foregår mellom de ulike aktørene: den sosiale strukturen, hierarkiet og hvordan folk forholder seg til hverandre.

Hun beskriver det som et økosystem:

– Utviklere lager skadevaren, selgere distribuerer varen gjennom markedsplassene, og så har du kjøpere, som også distribuerer varen ved å gjennomføre dataangrepet.

Det mørke nettet har et eget økosystem med utviklere, selgere og kjøpere. Bayoumy forteller om et marked preget av hard konkurranse. Foto: Stein Bjørge

Hard konkurranse og sabotasje

Hun har forsket på dette «økosystemet» gjennom å overvåke fora på det mørke nettet. Hun beskriver hard konkurranse om kundene.

– Konkurranse mellom utviklerne kan gi seg mange utslag. Skaperne av løsepengevirusene Petya og Mischa lekket krypteringsnøkkelen til viruset Chimera, noe som gjorde dette viruset verdiløst, forteller Bayoumy.

Mastergradsstudenten og kollegene på NTNU og Sintef har sett at mange kjøpere av løsepengevirus har til hensikt å bruke viruset mot egen arbeidsgiver.

– Mange kjøpere forteller på foraene at de har tenkt å bruke viruset til en «innsidejobb» mot firmaet de jobber i. De regner med at viruset rammer så hardt at arbeidsgiveren vil betale løsepengene, sier Bayoumy.

I fjor ble to menn dømt til 11 måneders fengsel i Nedre Romerike tingrett. De to IT-konsulentene ble dømt for å ha rettet såkalte tjenestenektangrep mot egen arbeidsgiver. Skadevaren kjøpte de på internett.

– Rundt 40 prosent av kjøperne vi observerer, skriver at de har et mål de vil angripe. Noen prøver også å inngå en avtale med utviklere, forklarer Bayoumy.

Utviklerne blir da kontaktet av personer som hevder å ha ressursene til å gjennomføre angrep. For å gjennomføre dataangrepet kreves det en andel av løsepengene.

– Datasikkerhetseksperter gjør en fantastisk jobb med å markedsføre løsepengevirus

Yara Bayoumy forteller at mye av det som selges på det åpne og det mørke nettet, «er for godt til å være sant». Aftenposten møtte henne i forbindelse med at hun skulle holde foredrag på datasikkerhetskonferansen Paranoia. Foto: Stein Bjørge

Masterstudenten i informasjonssystemer på NTNU forteller at mye av det som tilbys som løsepengevirus, er ren svindel. Særlig det som selges på det åpne nettet.

– På det vanlige internettet markedsføres virus ofte mot folk som ikke kan kode selv. Virusene har ofte ikke noe navn, og den anonyme selgeren lover gull og grønne skoger i annonseteksten. Erfarne brukere på markedsplasser på det mørke nettet sier gjerne: «Er det for godt til å være sant, så er det som regel det», sier hun.

Løsepengevirusene som er av «god kvalitet», selges for det meste i lukkede fora på det mørke nettet, forteller Bayoumy. For å komme inn kreves det ofte en avgift – gjerne betalt i bitcoin. Andre fora krever anbefaling av eksisterende medlemmer for innpass.

Flere datasikkerhetseksperter sier at det er lett å få tak i løsepengevirus, noe som skaper frykt blant vanlige nettbrukere, forklarer Bayoumy.

– Jeg tror ekspertene gjør en fantastisk jobb med å markedsføre løsepengevirus. De forteller at det virker, og at store summer blir betalt – det gjør markedene attraktive for potensielle forbrytere. Det gjør at utviklerne ikke trenger å reklamere så mye selv, understreker Yara Bayoumy.

Tips oss