Når den tunge og organiserede it-kriminalitet skal bekæmpes, så handler det om at finde mønstre. Små brikker, der kan stykkes sammen som et puslespil og give det store billede.
Det kræver, at der samles masser af data og at de analyseres for fine nuancer af ondsindet trafik. En trafik som sikkerhedsfirmaerne indsamler via sine brugere og andre indsamlingspunkter på nettet.
"Vi ser simpelthen data igennem, og leder efter de mønstre, der ser forkerte ud," fortæller Martin Lee, der er chef for Ciscos sikkerhedsforskerhold og -analysegruppe, Talos.
Det var også denne metode, sikkerhedsfolkene i Talos anvendte i 2015 for at bide sig fast i haserne på Angler exploit kit, et af de mest anvendte exploit kit, for derefter stikke en tyk kæp i hjulet på bagmændene.
Er det nemt?
"Nej. Nogle gange kan vi stå tilbage med en følelse af, at det simpelthen er for enkelt. At det ikke kan passe. Men for det meste så er det avancerede og gennemtænkte it-strategier, vi skal kortlægge bid for bid gennem reverse engineering og samarbejder med internetudbyderne."
Det tilfældige er ikke altid tilfældigt
En af de ting, som angribere forsøger at opnå, er at få angrebene til at se tilfældige ud. Men på trods af den strategi er der stadig små sammenhænge eller mønstre, der kan stykkes sammen til et større billede, fortæller han.
"Det er disse sammenhænge, som vi går efter i det første trin af en efterforskning. De første brikker i puslespillet stykkes sammen for at kortlægge et angreb eller et exploit kit's måde at fungere på."
Et exploit kit er en angrebsværktøjskasse som cyber-kriminelle kan købe eksempelvis som en webtjeneste, der så kan anvendes til at udnytte sårbarheder på din computer og inficere den med malware.
Det kan være via et ikke opdateret hul i styresystemet, en browser eller i programmer som eksempelvis Adobe Reader eller Flash.
En lille gruppe ondsindede udviklere vedligeholder systemet, så det hele tiden er opdateret med de nyeste sårbarheder og udlejer så servicen til en masse mindre fisk, der ønsker at forsøge sig som it-kriminelle, præcis som man kender det fra andre software as a service-tjenester.
Angler (på dansk fisker) exploit kit, blev første gang identificeret i 2013, og er siden blevet en af de mest anvendte værktøjskasser for it-kriminelle.
Det anvendes i stor stil til at lægge ransomware som eksempelvis TeslaCrypt på ofrenes maskiner, men kan også anvendes i andre sammenhænge som malvertising eller til hacktivisme.
Har de enkelte exploit kit deres egen signatur eller mønster?
"Ja, typisk har de en form for digitalt fingeraftryk eller et handlingsmønster, som man kan finde frem til. Det er den måde vi identificerer angriberne på, men det kan være ret omfattende. Vi fandt ud af at Angler distribuerede mere end 3.000 forskellige slags malware. Det kan gøre det svært at holde det store overblik. Men via kodens fingeraftryk og dataanalyse lykkedes det at finde sammenhængen."
Kan du give et eksempel på et mønster?
"Ved at se på hvor malwaren kom fra, kunne vi se et helt tydeligt mønster, selv om banden var rigtig god til at skifte ip-adresser. Det viste sig, at der primært blev benyttet to internetudbydere, som blev brugt igen og igen.
Kører hacker-systemet fra en almindelig ISP-konto
Var udbyderne blevet hacket?
"Nej, det var meget enklere end det. Da vi tog kontakt til udbyderne, viste det sig at de godt vidste, at der var problemer, men de kunne ikke identificere dem. Det kom så frem, at de kriminelle oprettede konti som ganske almindelige brugere. "
Hvad gjorde de helt konkret?
"Åbnede en konto med en falsk identitet og et falsk kreditkort og satte en server op. Når den blev sat på den sorte liste, så åbnede de bare en ny konto og startede forfra. Det kræver langt mindre anstrengelser at åbne en konto end at hacke systemerne."
Samarbejdet mellem internetudbyderen og sikkerhedsfolkene betød, at de ondsindede tjenester kunne pilles ned lynhurtigt, og samtidig blev indholdet fra serverne delt med sikkerhedsfolkene, så de kunne analysere på endnu flere data.
"Det viste sig så, at infrastrukturen bag Angler var gemt bag en net af proxy-servere, der var altså tale om en ganske avanceret opsætning. Men det gav os mulighed for at arbejde baglæns i systemerne for at finde kernen."
Hvad kunne I se?
"Vi fandt frem til, at der var en stribe exploit-servere, der blev anvendt til log-filer og statistik over, hvilke sårbarheder, der var mest effektive at udnytte. Disse data blev sendt til en master log-server. Der var tale om et ganske velorganiseret log management-system, som mange lovlydige virksomheder kunne lære af."
Muligheden for, at alle brugerne af Angler kunne pinge statistikserveren, viste sig ganske interessant for sikkerhedsfolkene.
"Her fandt vi alle mulige data helt ned til hvilke ofre, der betalte løsepenge for ransomware. Det viste sig, at 2,9 procent af alle ofre for ransomware betaler - hver eneste dag, og at gennemsnitsprisen var 300 dollar. Via lidt matematik regnede vi os frem til, at denne ene bande kunne tjene 74 millioner dollar om året. Det var big business."
Det var dog ikke muligt for sikkerhedsfolkene at følge pengene, men kun se statistikken.
Hvad gjorde I så for at ødelægge forretningen for de kriminelle?
"Vi arbejdede sammen med internetudbyderne om at ødelægge forsyningsvejene fra de kriminelle. Det var ganske effektivt efter deres handlingsmønster og malware-produkter var genkendt."
Fandt aldrig bagmændene
Fandt I frem til folkene bag Angler?
"Nej, det gjorde vi desværre ikke. Vi er ikke en myndighed, men vi gav naturligvis informationerne videre til politiet. Men når alt kommer til alt, så kunne vi fjerne deres tjenester fra nettet, men vi aner ikke hvem eller hvor bagmændene er."
Så Angler blev ikke destrueret?
"Nej, der blev lagt en solid dæmper på aktiviteterne, men det blev ikke fjernet. Disse tjenester dukker desværre bare op igen i en ny form."
Hvad gør I for at dele jeres viden med andre sikkerhedsfolk, så almindelige internetbrugere kan blive mere sikre?
"Vi deler alle oplysninger, opdaterer signaturer, samarbejder med ISP'er, udvikler software under open source-licens. Der er mange elementer, og vi forsøger at være en god nabo for alle netbrugerne og andre sikkerhedsfolk," siger Martin Lee til Computerworld.
Læs også:
Krypto-ransomware eksploderer i 2016: Sådan fungerer det - og sådan beskytter du dig
Ramt af ransomware: Den dag hackere krypterede 8.000 dokumenter på Aage Krogsdams computer
Priserne falder i hacker-miljøerne: Så lidt koster det at købe et hack, et DDoS-angreb eller en RAT
Ransomware-netværk med 90.000 daglige ofre optrevlet: Sådan fungerede det