Léteznek olyan hasznos weboldalak, amelyek több tucat víruskereső motorral vizsgálnak át egy-egy feltöltött fájl, és ez sokat segíthet egy gyanúsnak vélt állomány esetében, ha az például kéretlen levél mellékleteként érkezik. Az egyik ilyen netes szolgáltatás azonban szemlátomást sokkal inkább a bűnözőket segítette, hogy a kártevők hatékonyabban elrejtőzhessenek a védelmek felismerései elől.
Több ilyen is ellenőrző szolgáltatás létezik, pl. virusscan.jotti.org vagy a filescan.io, de az egyik legismertebb és talán legkedveltebb weboldal a virustotal.com. Amelynél 70+ kereskedelmi vírusvédelmi alkalmazás arénájába lehet bedobálni a vizsgálandó állományt, vagy egy URL címet. A VT szabályai között szerepel, hogy a vizsgált mintákat elküldi a vírusvédelmet fejlesztő cégeknek, hogy azok az új mintákkal bővíteni tudják a felismeréseiket.
Ennek egy lépése volt az is, hogy nagyjából 2015. körül megszüntették azt a korábbi privát feltöltés (do not distribute) opciót, amelynél be lehetett pipálni, hogy a feltöltött fájlt ne küldjék tovább a vírusirtó laboroknak. A VirusTotal úgy érezte, ezek a feltöltések ellentmondanak a biztonsági közösség eredeti céljainak.
Az ilyen rejtett ellenőrzések feltételezett célja ugyanis éppen az lehet, hogy az antivírus cégek ne kaphassák meg ezeket a potenciálisan új fenyegetéseket, Proof of Concept kódokat, miközben a bűnözők viszont szabadon kísérletezhessenek az adott kártékony kód elrejtésével, obfuszkálásával (egy adott program vagy annak egy részének szándékos összezavarása az olvashatóság, a detektálhatóság és a visszafejthetőség akadályozása érdekében, az eredeti működési funkciók megőrzése mellett).
Pontosan ez lehetett az oka annak, hogy az anonim tesztelést máig lehetővé tevő avcheck.net oldalát a hatóságok leállították, és a nyitókép május vége óta arról tájékoztat, hogy egy nemzetközi bűnüldözési művelet eredményeképpen letiltották a szolgáltatást.
A domain lefoglalási banner jelenleg az USA Igazságügyi Minisztériumának, az FBI-nak, az Egyesült Államok Titkosszolgálatának, valamint a holland rendőrség (Politie) címerei láthatók egy tájékoztató szöveg kíséretében. Az akcióban a holland mellett a finn rendőrség tagjai is részt vettek.
Ez a rajtaütés szorosan kapcsolódik a korábbi posztunkban már emlegetett hosszútávon zajló Endgame hadművelethez. A ransomware bűnözők ugyanis bizonyíthatóan gyakran használták arra az AVCheck szolgáltatást, hogy kártékony kódjaikat elleplezhessék a védelmek elől, és maximális pusztítást érhessenek el.
A kódok szándékos összezavarására számos eszközük van a kártevő fejlesztőknek, például az orosz eredetű cryptor.biz, a crypt.guru, illetve a cryptor.live szolgáltatások, emiatt most ezek elérését is blokkolták a hatóságok.
A nyomozás során egyértelmű kapcsolatot találtak a cryptor oldalak és az Egyesült Államokbeli, valamint külföldi célpontok elleni Ryuk zsarolóvírus támadások elkövetői között. Az ehhez hasonló titkosítási szolgáltatásokat széles körben hirdetik a kiberbűnözői fórumokon.
A mostani összehangolt művelet a rosszindulatú szolgáltatások felszámolására időlegesen javíthat a helyzeten, azonban felszámolni a jelenséget sajnos gyakorlatilag lehetetlen. Mindenesetre sok hasonló akcióra lenne szükség, hogy legalább valamennyire enyhüljön a felhasználókon a nyomás.
