Som du ser är vår webbplats inte anpassad för äldre webbläsare. Vi rekommenderar att du uppgraderar till en nyare webbläsare.
!!

OBS: I nuläget pågår en våg av ransomware-mejl mot Sverige.

Se följande nyhet för information och IoC:er:
https://www.cert.se/2017/02/pagaende-vag-av-ransomware

Publicerad

Infekterade datorer i Sverige

Städer

Stad IP-adresser Träffar
Data från perioden .

Organisationstyper

Organisationstyp IP-adresser Träffar
Data från perioden .

Statistik

Vad är det jag ser?

Varje röd prick på kartan representerar en ort i Sverige där det finns infekterade datorer. Ju större röd prick desto fler infekterade datorer. Genom att klicka på pricken fås en lista över infekterade IP-adresser för orten. Vidare kan detaljinformation visas för en specifik IP-adress.

Tips:

  • Välj "Alla dagar" högst upp till vänster i navigeringsraden om du vill se så mycket data som möjligt.
  • Klicka på "Förstora"-länken längst ner i högra hörnet i kartan för att förstora den.

Vad menas med "infekterad dator"?

Det kan till exempel vara en datorn som är medlem i ett botnät eller på annat sätt är trojaniserad, men även en dator som skickar skräppost eller testar ssh-lösenord. En mer exakt definition skulle vara "illasinnad" dator istället för "infekterad", eftersom datorn inte behöver ha tagits över av en angripare. En ssh-lösenordsattack eller utskick av skräppost kan utföras från angriparens egna dator, även om detta är ovanligt.

Vilka datakällor används?

Vi använder till största del publika datakällor, såsom Shadowserver, ZeuS Tracker, MalwarePatrol, DroneBL och Autoshun. RBL-listor (Realtime blacklist) användas också, till exempel SORBS. Data från icke-publika källor processas också.

Hur påverkar dynamiska IP-adresser och NAT resultatet?

Det går inte att sätta likhetstecken mellan en IP-adress och en smittad dator av följande skäl:

  • Dynamisk IP-adress: De flesta privatpersoner har en dynamisk IP-adress, dvs en adress som kan ändras sig. En smittad dator kan därför räknas flera gånger i vårt system eftersom den kan ha fått flera olika IP-adresser. Datorn kan även ha flyttats runt mellan olika nät, exempelvis hemmanätet, 3G-modem, jobbet och diverse publika trådlösa nät. De flesta hemmanät använder sig ofta av en brandvägg eller bredbandsrouter. Eftersom denna är ständigt påslagen hålls samma IP-adressen under en längre tid. Å andra sid an ger ett 3G-modem en ny IP-adress vid varje ny uppkoppling mot 3G-nätet. Mer information om Dynamisk IP-adress på Wikipedia
  • NAT: Många nät är NAT:ade, dvs flera interna IP-adresser finns bakom en och samma publika IP-adress. Flera smittade dator räknas då som en enda eftersom de använder samma publika IP-adress. Mer information om NAT (Network Address Translation) på Wikipedia
    Eftersom dynamiska IP-adresser ger flera IP-adressträffar samtidigt som NAT ger färre kan man fråga sig om de tar ut varandra. Tyvärr går det inte att avgöra men det kan vara en grov approximation.

Varför är IP-adresserna maskade?

Inga IP-adresser visas fullständigt utan de två sista oktetterna är maskade med "x", exempelvis "192.121.x.x". Skälet till detta är följande:

  • Sårbara maskiner: De IP-adresser som inte är NAT:ade (se ovan) tillhör maskiner som troligen är sårbara eller kan vara infekterade av en trojan med eventuella bakdörrar. Om IP-adresserna är omaskade skulle dessa kunna användas av en angripare som en lista över potentiella mål.
  • PUL: Under vissa omständigheter kan en IP-adress knytas till en person eller grupp av personer och därför omfattas uppgiften av personuppgiftslagen (PUL).

Kan jag få veta om min maskin är infekterad?

Nej, bland annat av följande anledningar:

  • Dynamisk IP-adress och NAT: Dessa två tekniker gör att det inte med säkerhet går att knyta en maskin till en IP-adress. Se ovan för mer information.
  • PUL: Se ovan för mer information.

Vad menas med "träff"?

En loggrad som innehåller IP-adressen räknas som en träff. 50 träffar är således 50 olika loggrader innehållande samma IP-adress. Loggraderna kan komma från en och samma da takälla eller från olika.

Vad är syftet med systemet?

Huvudsyftet är att samla in data över illasinnade datorer i Sverige och filtrera ut de som tillhör myndigheter, kommuner, landsting och andra samhällsviktga organisationer. Då en illasinnad dator upptäcks skickar CERT-SE ut ett e-post till organisationen där de uppmanas att undersöka om deras nät innehåller exempelvis en Conficker-infekterad maskin.

Ett annat användningsområde är att vi får en bra överblick över skräpet på internet i Sverige. Denna kartapplikation skapades för att göra denna data tillgänglig och lättare att förstå. Om du vill veta hur mycket data som processas varje vecka visas detta på Malrec-sidan.

Feedback?

Skicka frågor, synpunkter, ris eller ros till cert@cert.se.