Het botnetwerk dat de Verenigde Staten in zijn greep houdt, is net als het botnet dat in Nederland de Dorifel-virus verspreidt gebaseerd op het softwareplatform Citadel, een variant van het oudere Zeus-platform. Het Internet Crime Complaint Center (IC3) krijgt naar eigen zeggen tientallen klachten binnen per dag over de losgeldtrojan. Infectie gebeurt via “drive-by", het bezoeken van websites waarin de virus zit verstopt.

Bij bezoek wordt de computer direct 'bevroren' en komt er een popup met daarin de melding dat het IP-adres van de computergebruiker door de FBI is betrapt op het bezoeken van websites met kinderporno en andere illegale content. Om de computer weer te bevrijden, moet er een boete worden betaald aan Justitie via een prepaid betaalservice.

Toename meldingen ondanks waarschuwingen

De FBI en IC3 waarschuwen al sinds mei voor Reveton. Het aantal meldingen neemt niettemin toe en inmiddels is bekend dat een aantal Amerikanen daadwerkelijk het geëiste bedrag betalen. De FBI waarschuwt dat deze Reveton-ransomware wellicht kan worden verwijderd met hulp van een expert, maar dat de Citadel-malware dan achterblijft en opnieuw het slachtoffer geld probeert afhandig te maken.

“De Citadelmalware blijft op de achtergrond draaien op de geïnfecteerde computer en kan gebruikt worden voor fraude met online bankieren en creditcards", schrijft de FBI. Het bureau adviseert ook hierin contact te zoeken met “een lokale computerexpert" om de malware te verwijderen.

Ook op 'Dorifelserver' stond ransomware

Dat de diverse Citadelplatforms naast het manipuleren en aftappen van internetbankieren ook ransomware verspreiden, werd tevens duidelijk bij het onderzoek naar de origine van het Dorifel-virus. Op de masterserver die de gegevens van Dorifel ontvangt en de namaak bankwebsites host, werden tevens twee domeinen gevonden die gerelateerd waren aan de Police Trojan, zo vond onderzoeker Rickey Gevers van Digital Investigation uit.

De Police Trojan, een bekende ransomeware, is nauwgezet geanalyseerd (pdf) door onder meer Trend Micro. Na besmetting en contact met de Command & Control server bepaalt het eerst het land waar het geïnfecteerde systeem staat om vervolgens de boodschap in de juiste taal en het logo van de plaatselijke politie te downloaden naar de computer van het slachtoffer. Tegelijkertijd wordt het beeldscherm gegijzeld. De Police Trojan is eerder al in verband gebracht met de Zeus Trojan, maar ook met Carberp, FakeAV en de TDSS-rootkit die in het verleden is gebruikt door de bende van Rove Digital uit Rusland en de Oekraïne.