venerdì 6 giugno 2014

FBI in collaborazione con Microsoft abbattono botnet GameOver Zeus


A seguito dell'azione multi-nazionale contro la botnet GameOver Zeus, Microsoft è lieto di annunciare che, lavorando a stretto contatto con l'FBI e partner di settore, è intervenuta per rimuovere il malware, in modo che i computer infetti non possono più essere utilizzati per danneggiare. La GameOver Zeus, una variante della famiglia di malware Zeus (o Zbot ), è un password-stealing trojan altamente prevalente, secondo la ricerca da parte del Microsoft Security Intelligence Report. Dell SecureWorks Counter Threat Unit riferisce che era il trojan bancario più attivo del 2013, tuttavia, l'impatto di GameOver Zeus non si limita al settore finanziario. 

"Quasi tutte le principali organizzazioni imprenditoriali e del settore pubblico sono state influenzate. I ricercatori di sicurezza stimano che tra 500.000 e 1 milione di computer in tutto il mondo sono stati infettati, e l'FBI stima che Gameover Zeus è responsabile di più di 100 milioni di dollari di perdite", ha spiegato Richard Domingues Boscovich, Assistant General Counsel, Microsoft Digital Crimes Unit. "L'azione legale FBI-led e l'azione tecnico-guidata dal settore privato contro GameOver Zeus hano tolto una parte delle infrastrutture di comando e controllo (C&C) connesse ai domini generati dal malware e registrati dai cyber-criminali".

Il 2 giugno 2014, il Dipartimento di Giustizia e l'FBI hanno annunciato uno sforzo multinazionale per interrompere la botnet Zeus GameOver (GOZ), ritenuto responsabile del furto di milioni di dollari da parte delle imprese e dei consumatori negli Stati Uniti e in tutto il mondo. Microsoft non ha depositato una causa civile in questa materia, a differenza di alcune delle sue azioni precedenti. Diversamente dalla maggior parte dei server centralizzati botnet C & C, GameOver Zeus utilizza la tecnologia peer-to-peer (P2P), rendendo il suo C & C decentrato, più sfuggente e più resistente rispetto ai suoi predecessori. 

In questa operazione, nome in codice B157, l'FBI ha sequestrato i domini registrati. Il ruolo di Microsoft in questo intervento tecnico è stato quello di condurre un'analisi sulla rete P2P e sviluppare una soluzione detergente. Inoltre, attraverso un feed supplementare da  Shadow Server, Microsoft è stato in grado di aumentare la visibilità nel numero di indirizzi IP impattati che alimentano il Cyber-Threat Intelligence Program di Microsoft (C-TIP), e lavorato a stretto contatto con globale Community Emergency Response Teams (CERT) e i fornitori di servizi Internet (ISP) per aiutare i proprietari di computer compromessi a riprendere il controllo dei propri sistemi. 

Sulla base di queste azioni, si prevede che il modello di business dei criminali informatici "sarà interrotto, e saranno costretti a ricostruire la loro infrastruttura criminale. Ancora più importante, le vittime di GameOver Zeus sono state e continueranno ad essere, notificate e loro computer infetti puliti per evitare danni futuri. Questa è la seconda operazione botnet da Microsoft fin dall'inaugurazione il 14 novembre del nuovo Microsoft Cybercrime Center - un centro di eccellenza per l'avanzamento della lotta globale contro la criminalità informatica - e segna il nono coinvolgimento di Microsoft in una operazione di botnet. 

In una azione collegata, l'U.S. and foreign law enforcement officials hanno sequestrato i server di comando e controllo Cryptolocker. Cryptolocker è un tipo di ransomware che blocca i file del computer delle vittime e chiede un compenso in cambio del loro sblocco. I computer infettati con Cryptolocker spesso sono anche infettati con GameOver Zeus. "GameOver Zeus è la più sofisticata botnet che l'FBI e i nostri alleati hanno mai tentato di distruggere", ha detto Robert Anderson, Executive Assistant Director dell'FBI. "Gli sforzi annunciati oggi sono un risultato diretto delle relazioni efficaci che abbiamo con i nostri partner del settore privato, l'applicazione del diritto internazionale, e all'interno del governo degli Stati Uniti".


"Questa operazione ha interrotto una botnet globale che aveva rubato milioni da parte delle imprese e dei consumatori, nonché come un complesso sistema di ransomware che segretamente ha crittografato hard disk e poi ha chiesto pagamenti per dare agli utenti l'accesso ai loro file e dati", ha detto il vice procuratore generale Cole. "Siamo riusciti a invalidare Gameover Zeus e Cryptolocker solo perché abbiamo mescolato tattiche legali e tecniche innovative con gli strumenti delle forze dell'ordine tradizionali e sviluppato forti relazioni di lavoro con esperti del settore privato e controparti del diritto in più di 10 paesi in tutto il mondo".

Simile al caso ZeroAccess botnet di Microsoft del dicembre 2013, GameOver Zeus è parte di un sforzo di cooperazione  con partner di settore e le forze dell'ordine per eliminare le reti criminali informatici per garantire che le persone in tutto il mondo possono utilizzare i loro dispositivi e servizi informatici con fiducia. A differenza di varianti di Zeus precedenti, GameOver ha un'infrastruttura decentralizzata, comando e controllo peer-to-peer, piuttosto che punti centralizzati di origine, il che significa che le istruzioni ai computer infetti possono provenire da qualsiasi computer infetti, rendendo un takedown della botnet più difficile, ma non impossibile.

GameOver Zeus si diffonde attraverso drive-by download, dove i criminali informatici creano un sito web che scarica il malware su qualsiasi computer non protetto che visita quel sito. E' distribuito anche attraverso la spam botnet Cutwail tramite phishing, in cui i criminali informatici inviano e-mail contraffatte che sembrano essere le comunicazioni legittime da parte delle imprese e delle organizzazioni ben note. Queste e-mail ingannevoli contengono linguaggio realistico che potrebbe invogliare il destinatario a cliccare su un link o un allegato, che schiera in ultima analisi, il malware GameOver Zeus sul computer della vittima. 

La botnet inizia automaticamente il key logging quando l'utente di un computer infetto tipico nel browser Web, involontariamente fornisce ai criminali informatici all'accesso alle password e informazioni private dell'account. Il computer infetto invia i dati rubati al server della botnet C & C, e lo memorizza lì per un uso successivo da parte del criminale. GameOver Zeus ha molte proprietà simili a Zeus, come ad esempio i tasti di registrazione per rubare le credenziali bancarie, ma viene anche fornito con funzioni dannose che permettono di lanciare attacchi distributed denial-of-service (DDoS), contro le istituzioni finanziarie. 

Varianti hanno permesso a GameOver Zeus di eludere il perimetro di sicurezza, inclusi firewall, webfilters e sistemi di rilevamento delle intrusioni di rete, di per sé travestendosi come file .EXE crittografato. GameOver Zeus distribuisce anche un processo noto come "web injects", che forniscono la possibilità di modificare il codice HTML di un sito web di destinazione, e iniettare campi modulo aggiuntivi di ingannare la vittima nel fornire le informazioni sensibili al di là di credenziali bancarie standard. Oltre a mirare istituzioni finanziarie, GameOver Zeus ha schierato web injects a grandi magazzini, siti di social networking e servizi di webmail. 

Più recentemente, una variante si rivolge a cerca lavoro e reclutatori cercando di rubare le credenziali di log-in ai siti di ricerca lavoro popolari. A differenza di alcune delle versioni precedenti di Zeus, come ICE IX, Spy Eye e Citadel, GameOver Zeus non è stato commercializzato e messo in vendita nel pubblico dominio. Microsoft continuerà a fornire aggiornamenti non appena disponibili su questo caso e l'operazione in corso. Si consiglia agli utenti di eseguire periodicamente il backup dei dati più importanti. Visitare http://bit.ly/1xgTGVz per le istruzioni dettagliate su come rimuovere il trojan Zeus GameOver con  strumenti di rimozione malware o software anti-virus il più rapidamente possibile.

Nessun commento:

Posta un commento