Een analyse van de rondgaande 'politie-Trojan' levert verbindingen op met oudere, langlopende malware-operaties. Die campagnes stammen al 2010 en benutten deels dezelfde beheer- en betalingsinfrastructuur. De analyse van de ransomware zelf en het achterliggende netwerk voor de aansturing ervan is uitgevoerd door securitybedrijf Trend Micro.

Ook in Nederland

De Nederlandse overheid waarschuwt nu ook voor deze vorm van malware, die eind vorig jaar al in ons land is opgedoken. Het gaat om Trojans die voor Europese landen zijn vertaald en inhoudelijk aangepast aan de politiedienst die dan zogenaamd de pc op slot zet vanwege een overtreding. Betaling van een 'politieboete' belooft ontgrendeling van de besmette pc.

De security-onderzoekers van Trend Micro weten links te leggen met de complexe Zeus-malware, maar ook met Carberp en de relatief nieuwe worm Gamarue. “Dezelfde mensen die deze Trojan verspreiden, zijn ook zwaar betrokken bij andere malware en hebben veel gestoken in deze business."

Trend Micro heeft ontdekt dat de verspreiders van de politie-ransomware ook affiliates zijn van een bende die de beruchte DNSChanger-Trojan heeft gebruikt. Deze cybercriminelen zijn professionals, die hun activiteiten blijven doorzetten omdat ze er flink aan verdienen, aldus de security-leverancier. Recent is nog een nieuwe golf besmettingen in België ontdekt. Trend Micro stelt dat er een overvloed aan infecties is in Europa.

Russische bankfraudeurs

Eerder zijn gekaapte pc's in het Carberp-botnet gebruikt om onder meer Nederlanders via internetbankieren te bestelen. De Russische bende daarachter is vorige maand opgepakt. Daarmee is de dreiging van die malware echter niet voorbij: de aanbieder van Carberp is nog gewoon actief. Het Nederlandse securitybedrijf Fox-IT dat heeft meegeholpen aan het opsporen van de Russische bankfraudeurs noemt Carberp robuust en schaalbaar, professioneel opgezet en met een snelle ontwikkelingscyclus.