sabato 14 giugno 2014

GameOver Zeus e Cryptolocker‏, da Symantec nuovo tool di rimozione


L’FBI, l’Agenzia Nazionale del Crimine del Regno Unito, e un certo numero di forze dell’ordine internazionali hanno interrotto in modo significativo due delle più pericolose operazioni di frodi finanziare: il botnet Gameover Zeus e la rete ramsomware Cryptolocker. Lavorando con partner del settore privato, compresa Symantec, l’FBI ha sequestrato una grande quantità di infrastrutture usate da entrambe le organizzazioni. A completamento di questa operazione, Symantec ha rilasciato un nuovo strumento che le vittime possono usare per rimuovere completamente le infezioni di Gameover Zeus.

Recentemente Symantec ha anche annunciato un nuovo approccio alle Advanced Threat Protection (ATP). Gameover Zeus è responsabile di milioni di infezioni a livello mondiale sin dalla sua creazione nel settembre 2011. Gli aggressori lo utilizzano per intercettare le transazioni durante le sessioni bancarie online, frodando i clienti di centinaia di istituti finanziari a livello mondiale. In un recente aggiornamento, un componente driver di basso livello è stato introdotto per impedire la rimozione del Trojan. 

Symantec sta fornendo un nuovo strumento per rimuoverlo ed eliminare anche i componenti aggiuntivi di Gameover Zeus. Cryptolocker è nel frattempo una delle forme più recenti e più minacciose di ransomware a comparire. Lavora tramite la crittografia dei file sul disco rigido delle vittime. Diversamente dalla maggior parte delle infezioni di malware, non è stata trovata nessuna correzione in grado di decifrare i dati interessati. Questo lascia la vittima con la sfortunata scelta di perdere i propri file personali o pagare un “riscatto” all’hacker.

Gameover Zeus: il Trojan per le frodi finanziarie
Gameover Zeus è una variante di Trojan.Zbot, conosciuto spesso semplicemente come ‘Zeus’; e utilizza una rete peer-to-peer e l’algoritmo di generazione domini (DGA) per il comando e il controllo. Per interrompere Gameover Zeus, i nodi chiavi sul network peer sono stati disabilitati, insieme con i domini generati dalla DGA. Symantec ha monitorato questa botnet dalla sua prima apparizione. Il botmaster ha mantenuto un network relativamente costante di centinaia di migliaia di computer infetti in tutto il mondo.

Paesi più colpiti dalle infezioni Gameover Zeus

Gameover potrebbe essere considerato la variante più avanzata di Zeus, ed a differenza delle altre varianti come i Trojan Citadel e ICEX, non è finalizzato alla rivendita. La botnet può essere usato per facilitare le frodi finanziarie su larga scale dirottando migliaia di vittime di sessioni bancarie online. Il gruppo dietro a Gameover Zeus lo utilizza per svolgere queste attività fraudolente in tempo reale. Gameover Zeus è tipicamente distribuito attraverso una email che pone come una frattura. 

Una volta che un utente infetto visita il proprio sito bancario attraverso un computer compromesso, Gameover intercetta le sessioni online utilizzando una tecnica comunemente conosciuta come man-in-the-browser (MITB). Può bypassare due fattori di autenticazione e visualizzare messaggi di sicurezza bancaria fraudolenti per l’utente per ottenere informazioni per l’autorizzazione della transazione. Non appena gli aggressori ottengono questi dettagli, essi possono modificare le transazioni bancarie degli utenti e rubare il loro denaro.

Tipica user experience durante un tentativo di transazione fraudolenta

Sulla base della sofisticatezza di questo Trojan, il team dietro questi attacchi appare essere ben consolidato e probabilmente è stato coinvolto in operazioni in ambito finanziario prima dell’apparizione di Gameover Zeus. Questo Trojan si è evoluto dal codice sorgente di Zeus rilasciato nel maggio 2011. C’è stato un periodo di rapido sviluppo che ha incluso l’adozione di schemi di cifratura alternativi, un DGA e più significativamente, la comunicazione peer-to-peer. Questi avanzamenti hanno decentralizzato il server di comando e controllo (C&C) del botnet, permettendo alla botnet di mantenere una larga base di computer infetti, diventando più resistente al takedown.

Nel 2014, Gameover ha adottato un driver di basso livello (un basso livello di driver), per prevenire la disinstallazione del malware. Questo driver condivide le caratteristiche con un una minaccia ben conosciuta chiamata Backdoor.Necurs. E’ improbabile che la banda di Gameover Zeus abbia sviluppato questo componente, forse approvvigionato o acquistato da terze parti. Questo livello ulteriore di resistenza aggiunge ancora un altro livello di complessità nella rimozione di questo malware (vedere link per lo strumento di rimozione di seguito).

Dimensione della botnet P2P di Gameover Zeus

Gameover Zeus ha resistito ad almeno due precedenti tentativi di boicottare la botnet (in primavera e in autunno del 2012). Il gruppo Gameover Zeus monitora da vicino le attività sospette per proteggere il network esistente di computer compromessi. Questa è un’azienda molto redditizia degna di protezione e il gruppo è conosciuto per individuare i punti deboli della rete e ricostruire quando necessario. Il successo a lungo termine della recente interruzione delle operazioni di Gameover rimane da vedere. Symantec continua a monitorare il network Gameover e fornisce attivamente dati ai service provider di Internet (ISP) ed ai CERT di tutto il mondo. Questi dati sono poi utilizzati per aiutare ad identificare e notificare le vittime con lo sforzo continuo di eliminare questa botnet.

Cryptolocker: uno strumento effettivo di estorsione
Cryptolocker è una della tante minacce di ransomware (ricatto), le quali tentano tutte di estorcere denaro dalle vittime bloccando il loro computer o la crittografia dei loro file. Cryptolocker è una delle varianti più pericolose di ransomware in circolazione, poiché utilizza una forte crittografia che non può essere rotta. La minaccia è apparsa per la prima volta nel settembre 2013 e mentre comprende solo una piccola percentuale della totalità di infezioni ransomware, ha catturato l’attenzione del pubblico perché le vittime che non possiedono i loro file di backup sono soggette a perderli se non pagano un riscatto.

I ransomware, incluso Cryptolocker, hanno dimostrato di essere eccezionalmente redditizio per gli aggressori. La ricerca di Symantec indica che in media, il 3% degli utenti infetti paga il riscatto. Noi crediamo che i distributori di ransomware abbiano senza dubbio guadagnato decine di milioni di dollari l’anno scorso. Le vittime sono di solito infettate da email di spam che utilizzano tattiche di ingegneria sociale per provare e invogliare l’apertura di un file zip allegato.

Esempio di email spam di Cryptolocker

Se le vittime aprono l’allegato, lanciano un file eseguibile camuffato per assomigliare ad una fattura o un altro documento simile, a seconda del tema dell’email. Questo file eseguibile farà scaricare Trojan.Zbot, aka Zeus. Una volta infettato con Zeus, il computer scarica anche Trojan.Cryptolocker all’interno del sistema. Cryptolocker poi contatta il server di comando e controllo (C&C), il cui indirizzo è generato attraverso l’incorporazione di un algoritmo di generazione di dominio (DGA). Una volta trovato il C&C, Cryptolocker scaricherà la chiave pubblica che è utilizzata per decifrare i file sul computer infetto. La chiave privata collegata, che è richiesta per la decifrazione dei file, rimane sul server C&C.  

Protezione:
Symantec ha rilasciato un nuovo strumento per rimuovere i componenti di Gameover Zeus che gli consentono di bypassare e disabilitare il software antivirus.  Visitare questa pagina per scaricare il tool, che vi permetterà di rimuovere questo componente e le infezioni di Gameover Zeus. È necessario disporre di diritti amministrativi per eseguire lo strumento su Windows. Esistono due versioni di questo tool, uno progettato per funzionare su pc a 32 bit e uno progettato per funzionare su pc a 64 bit. I prodotti Symantec e Norton come Norton 360 Multi-Device, sono aggiornati per identificare e prevenire le infenzioni.

1 commento: