Når man er opkaldt efter en gammel græsk gud, har man et ry, man skal leve op til. Ingen havde forventet, at Zeus ville have så brutal en effekt på den digitale verden, da den blev opdaget første gang i 2007. I 2009 blev Zeus imidlertid en af de mest udbredte malwares på internettet.
Zeus har kompromitteret mere end 74 000 FTP-webstedkonti og inficeret mere end 3,6 millioner computere. Denne malware inficerede vigtige netværk som NASA, Amazon, Cisco og Oracle. Hackere brugte Zeus til at stjæle finansielle oplysninger fra Bank of America og Department of Transportation.
Den oprindelige Zeus-skaber frigav kildekoden offentligt i 2011. Dette lagde grunden til, at der dukkede adskillige varianter af Zeus op, hvilket gør den til en trussel den dag i dag.
Hvad er Zeus Trojan?
Zeus Trojan-malware, også kaldet Zbot, bruges normalt til at stjæle følsomme data som f.eks. finansielle oplysninger. Malwaren er rettet mod enheder, der bruger Microsoft Windows-operativsystemet.
Hackere kan bruge Zeus til at stjæle alle de oplysninger, de ønsker, fra en Windows-computer, og endda til at installere CryptoLocker-ransomware. Desuden kan hackere bruge kildekoden til at oprette deres egne versioner af Zeus.
Zeus kan automatisk indsamle adgangskoder, downloade filer, genstarte eller lukke computere og slette systemfiler. I sidste ende får det din computer til at gå ned.
Sådan inficerer Zeus computere
Nye varianter af Zeus er svære at opdage på grund af forskellige filudvidelser, tilfældige overskrifter og ændringer i malware’s kryptering. Malwaren forbliver slumrende i den inficerede computer, indtil du besøger et af de målrettede websteder. Det er da, at virussen bliver aktiv og beder om dine personlige oplysninger. Hackerne sælger derefter de stjålne oplysninger på det sorte marked.
Zeus-malware kan inficere computere via to hovedmetoder – drive-by-downloads og spam-beskeder.
Spam-beskeder
Spam-beskeder kommer normalt i form af en e-mail eller opslag på sociale medier. Spambeskeder ser umiddelbart legitime ud, det kan være en invitation til en særlig begivenhed, en venneanmodning på Facebook eller en vigtig besked fra din bank.
Når du klikker på et link i e-mailen, bliver du automatisk sendt videre til et websted, der installerer malware. Malwaren kan nogle gange stjæle dine e-mailoplysninger og oplysninger om sociale medier og sende beskeder fra din konto.
Drive-By Downloads
En drive-by download er en utilsigtet download af skadelig software til din computer eller mobilenhed. Du behøver ikke at åbne en skadelig e-mail eller klikke på noget for at blive inficeret. Den skadelige software installerer sig selv, når brugeren besøger et ondsindet websted eller installerer et inficeret program. En drive-by download udnytter normalt forældede systemer med sikkerhedsbrister.
Hvad Zeus-virussen gør ved computere
Zeus-malware kan gøre mange ting ved inficerede computere, men typisk har den to hovedfunktioner:
- Botnet – et netværk af forbundne computere, der koordineres sammen for at udføre en opgave. Hackere udnytter undertiden botnets til at udføre DDoS-angreb (Distributed Denial-of-Service), sende spam-beskeder og stjæle følsomme oplysninger.
- Trojaner til finansielle tjenester – Zeus bruges ofte til at stjæle legitimationsoplysninger fra banktjenester. Den skadelige software omgår sikkerheden på et bankwebsted for at overvåge brugeraktivitet. Når brugerne forsøger at logge ind, registrerer den skadelige software deres legitimationsoplysninger. Nogle gange kan Zeus endda omgå to-faktor-autentificering.
Originalt påvirkede Zeus-malware kun Microsoft Windows-operativsystemet, men nyere versioner inficerer også Android- og BlackBerry-mobilenheder.
Sådan forhindrer du Zeus-malware
En lille smule forsigtighed kan være med til at forhindre Zeus-malware i at inficere din computer. Her er, hvad du kan gøre for at beskytte dine enheder:
- Sikker internetpraksis – sikker browsing er det første skridt i forebyggelsen af Zeus-infektion. Dette omfatter at holde sig væk fra potentielt farlige websteder, der tilbyder ulovlige gratis softwaredownloads. Ejerne af disse websteder har normalt ikke noget problem med at hoste malware på deres websted. Du bør også undgå at klikke på links i e-mails og på sociale medier, medmindre du forventer disse meddelelser. Selv om beskeden er fra en legitim kilde, kan den være påvirket af Zeus-malware.
- opdater dit antivirusprogram – du kan forvente, at der dukker nye versioner af Zeus op med få års mellemrum, da kildekoden er offentligt tilgængelig. Kun antivirusser, der konstant opdateres med nye trusler, kan virkelig beskytte dig mod Zeus-malware.
- Styrk autentificering – malwareangreb er normalt et resultat af svage legitimationsoplysninger. Multifaktorgodkendelse (MFA) kan forhindre uautoriseret adgang til programmer. Sørg for, at alle dine programmer, herunder tjenester fra tredjeparter, understøtter MFA.
- Brug EDR-værktøjer (Endpoint Detection and Response) – EDR-værktøjer forhindrer mistænkelige filer i at køre på endpoint-enheder ved at overvåge endpoint-logfiler og pakker. Kontinuerlig overvågning af slutpunkter hjælper sikkerhedsteams med at reagere på malwareangreb i realtid.
- Uddannelse – gennemfør regelmæssig cybersikkerhedsuddannelse i din organisation. Undervis medarbejderne i de grundlæggende principper for god sikkerhedspraksis som f.eks. at validere ukendte e-mailadresser, undgå at klikke på links fra ukendte kilder og advare support om enhver mistænkelig aktivitet.
Kendte Zeus-angreb
Der findes tusindvis af Zeus-varianter derude. Zeus-malware-familien omfatter trojanere som Gameover, SpyEye, Atmos, Floki og mange flere.
Gameover ZeuS
Den Gameover-malware blev skabt af en russisk hacker ved navn Evgeniy Bogachev. Gameover Zeus bruger en krypteret peer-to-peer-kommunikation til at overføre oplysninger mellem sine knudepunkter og kontrolserveren. Virussen etablerer forbindelsen til serveren, så snart den skadelige fil installerer sig selv på en computer. Efter installationen kan malwaren deaktivere visse systemprocesser, downloade og starte andre vira eller endda slette vigtige systemfiler.
Zeus Panda
I 2016 var Zeus Panda-malwaren målrettet mod onlinebanktjenester, loyalitetsprogrammer for flyselskaber og onlinevæddemålskonti i Europa og Nordamerika. Senere samme år var Zeus Panda også rettet mod brasilianske banker og andre onlinetjenester. Malwaren var rettet mod brasilianske retshåndhævelseswebsteder, netværkssikkerhedsleverandører og e-handelswebsteder.
Floki Bot
Floki Bot er opkaldt efter en brasiliansk hacker, der er kendt som “flokibot”. Det eneste formål med Floki er økonomisk gevinst. Hackere, der udfører Floki Bot-angreb, vælger deres ofre meget metodisk, hvilket er grunden til, at Floki-malware er meget mere effektiv end den oprindelige Zeus. I modsætning til Zeus kan Floki Bot desuden angribe POS-systemer (Point of Sale), hvilket åbner helt nye muligheder for at stjæle kontanter.
Konklusion
Zeus-malware har inficeret millioner af computere verden over på relativt kort tid. Kildekoden er stadig tilgængelig online, og hackersamfundet diskuterer, opdaterer og forbedrer konstant malware. Som følge heraf vil Zeus fortsat være en trussel i mange år fremover, selv om den oprindelige skaberen ikke længere er i erhvervslivet. Organisationer skal forstå, at Zeus-virussen stadig er derude, og tage skridt til at beskytte deres finanser og følsomme oplysninger.