Zsarolók kezére játszik a Kelihos botnet

A Kelihos botnet évek óta megkeseríti a felhasználók, illetve az informatikusok életét, és a helyzet egyre csak durvul. Mostanság zsaroló programokat karolt fel.
 

A Kelihos botnet az egyik legismertebb kártékony hálózat, amely fertőzött számítógépek ezreit foglalja magában. A története már legalább nyolc évre tekint vissza, amikor először kiderült, hogy zombi PC-k bevonásával különféle támadásokban, károkozásokban kapott szerepet. A megbénítására több kísérlet is történt. Közülük a legígéretesebbeknek a 2011 szeptemberében és a 2012 márciusában indított hatósági akciók számítottak. Ezek során a botnet ugyan jelentősen meggyengült, sőt látszólag el is vérzett, de a mögötte álló csoportok valahogy mindig életet leheltek az ilyen módon folyton újjászülető hálózatba.
 
A Kelihos kezdetben elsősorban kéretlen elektronikus levelek terjesztésében kapott szerepet, azaz a spammereket támogatta. Aztán idővel a botnet üzemeltetői rájöttek, hogy ennél jövedelmezőbb módon is kihasználhatják a rendelkezésükre álló erőforrásokat. Ekkor kezdtek vírusterjesztésbe. Eleinte banki trójai programok szerepeltek a repertoáron, aztán jöttek a zsaroló programok. Ezek közül először a MarsJoke és a Wildfire kártevők "fonódtak össze" a botnettel.
 
Idén nyáron aztán komolyabb változások történtek a Kelihos háza táján. Augusztus 22-én ugyanis nagyon intenzívvé vált a működése, és egy nap leforgása alatt több mint 30 ezer számítógépet kebelezett be. Egy hónappal később pedig már arról érkeztek hírek, hogy a botnet aktív szerepet játszik olyan hírhedt banki trójai programok térhódításában, mint amilyen például a Panda Zeus, a Nymain és a Kronos. Úgy tűnik, hogy a kiberbűnözőknek a banki károkozások felé való elmozdulás nem igazán jött be, mivel a legutóbbi vizsgálatok szerint az elmúlt hetekben ismét a zsaroló programok felé vették az irányt. Ezúttal a Troldesh ransomware-t karolták fel.  
A Troldesh zsaroló program terjesztése is elektronikus levelek útján történik. Az e-mailek megtévesztő üzeneteket tartalmaznak, és kártékony weboldalakra mutató hivatkozások, illetve ártalmas mellékletek kíséretében kerülnek a postafiókokba. Nem egy esetben például a Bank of America nevével élnek vissza csalók, és azt állítják, hogy a megadott linkre való kattintással vagy a csatolmány megnyitásával pénzügyi tranzakciókkal kapcsolatos információkat lehet olvasni. A valóságban azonban a kattintás vagy a fájlmegnyitás után a Troldesh kódja töltődik be, amely azonnal elkezdi titkosítani a felhasználó fájljait. A kompromittált állomány kiterjesztését a ".no_more_ransom" kifejezéssel egészíti ki. Amint végez a károkozással, lecseréli az asztal háttérképét, és egy szöveges állomány segítségével közli a felhasználóval a teendőket. Ez egyebek mellett abból áll, hogy a zsarolókat egy gmailes e-mail címen kell felkeresni. A zsaroló üzenet angol és orosz nyelven is olvasható.  
Mivel a Kelihos meglehetősen gyakran váltogatja a technikáit, ezért az ellene folytatott védekezés sem egyszerű feladat. Ugyanakkor alapvető biztonsági intézkedésekkel, naprakész védelmi alkalmazásokkal és biztonságtudatos internetezéssel jelentősen csökkenthetők a kockázatai.