mercoledì 22 aprile 2015

Interpol coordina l'operazione globale per abbattere la botnet Simda


La botnet Simda, che si ritiene abbia infettato più di 770.000 computer in tutto il mondo, è stata presa di mira in un'operazione globale coordinata dall'Interpol Global Complex for Innovation (IGCI) di Singapore. In una serie di azioni simultanee in tutto il mondo, giovedì 9 aprile, dieci server di comando e controllo sono stati colpiti nei Paesi Bassi, oltre ad alcuni server situati negli Stati Uniti, Russia, Lussemburgo e Polonia. Microsoft's Digital Crimes Unit (DCU) ha fornito intelligence forense all'Interpol e altri partner, dopo la sua grande analisi dei dati che ha trovato un forte aumento delle infezioni Simda in tutto il mondo.

L'INTERPOL Digital Crime Centre (IDCC) e l'IGCI hanno lavorato con Microsoft, Kaspersky Lab, Trend Micro e Japan’s Cyber Defense Institute per effettuare ulteriori analisi della botnet Simda conseguente alla "heat map" che mostra la diffusione delle infezioni a livello globale, e le località dei server di comando e controllo. Simda, un programma "pay-per-install" (PPI), è stato utilizzato dai criminali informatici per distribuire software illeciti e ottenere l'accesso remoto ai computer permettendo il furto di dati personali, tra cui password bancarie, nonché di installare e diffondere altro malware dannoso. 

La maggior parte dei possessori di PC che non hanno aggiornato la loro macchina sono stati infettati e sono invitati a verificare ed eseguire un software anti-virus ad ampio spettro. Microsoft ha rilasciato un rimedio per ripristinare le difese di un computer infetto che viene fornito anche dal Computer Emergency Response Teams (CERT) e Internet Service Provider dei loro clienti per pulire i PC infetti e mantenere gli utenti al sicuro online. Attivo da diversi anni, SIMDA è stato sempre raffinato per sfruttare eventuali vulnerabilità, con nuove e più difficili versioni da rilevare per essere generati e distribuiti ogni poche ore. 

E' stato utilizzato per i crimini contro i cittadini, le istituzioni finanziarie e la stessa Internet, la cattura e il reindirizzamento del traffico. Nei primi due mesi del 2015, sono state rilevate circa 90.000 nuove infezioni solo negli Stati Uniti. La botnet Simda è stato vista in più di 190 paesi, con i più colpiti tra Stati Uniti, Regno Unito, Turchia, Canada e Russia. "Il successo di questa operazione mostra il valore e necessità di partnership che coinvolgano forze dell'ordine nazionali e internazionali e le aziende private nella lotta contro la minaccia globale del crimine informatico", ha dichiarato Sanjay Virmani, direttore dell'IDCC. 

"Questa operazione ha inferto un colpo significativo alla botnet Simda e INTERPOL continuerà nel suo lavoro per aiutare i paesi membri a proteggere i propri cittadini dai criminali informatici e individuare altre minacce emergenti", ha aggiunto. Il Capo della  Central Criminal Investigation Division of Netherlands Police, Wilbert Paulissen ha dichiarato: "Lavorare insieme è di grande importanza al fine di affrontare la criminalità informatica in tutto il mondo. E' bello vedere ciascun partner nelle indagini di criminalità informatica che lavora allo stesso obiettivo: catturare e processare i sospetti che sono responsabili di questo". 

"La creazione dell’INTERPOL Global Complex for Innovation di Singapore contribuirà a rafforzare la lotta contro la criminalità informatica a livello mondiale", ha aggiunto Paulissen. "I nostri sforzi collettivi, e la cooperazione in questa inchiesta hanno avuto un impatto positivo nella lotta contro questa costante, minaccia in evoluzione", ha detto Joseph Demarest, vicedirettore, della FBI Cyber ​​Division. "Continueremo a lavorare a fianco dei nostri partner internazionali e l'applicazione del diritto internazionale a perseguire aggressivamente i criminali informatici di tutto il mondo".


L'intelligence, conferma l'INTERPOL, sta ora raccogliendo informazioni per identificare gli attori dietro la botnet Simda che aveva applicato un modello di business per le loro attività criminali, la carica per la corretta installazione di malware "utenti". Gli agenti operativi coinvolti sono della Dutch National High Tech Crime Unit (NHTCU) nei Paesi Bassi, il Federal Bureau of Investigation (FBI) negli Stati Uniti, la Police Grand-Ducale Section Nouvelles Technologies del Lussemburgo, e il Dipartimento del Cybercrimine "K" del Ministero dell'Interno russo, sostenuto dall'INTERPOL National Central Bureau di Mosca.

Il Malware Protection Center di Microsoft (MMPC) e  Microsoft's Digital Crimes Unit (DCU) hanno portato l'analisi della minaccia del malware in collaborazione con CDI Giappone, Kaspersky Lab, e Trend Micro. MMPC ha attivato la piattaforma Coordinated Malware Eradication (CME) per fornire una ricerca approfondita, telemetria, campioni, e soluzioni di pulizia alle forze dell'ordine e ai partner. Questa informazione ha aiutato le forze dell'ordine ad agire contro Simda.AT e le sue infrastrutture, fornendo opzioni di bonifica e di recupero facili per le macchine delle vittime in tutto il mondo.  

Dal 2009, la famiglia di malware Simda è una minaccia dinamica e sfuggente, spiega Microsoft in un post sul blog technet. La funzione di Simda ha spaziato da un semplice password stealer ad un trojan bancario complesso. Simda.AT costituisce la stragrande maggioranza dei rilevamenti attuali per questa famiglia di malware. Microsoft ha misurato circa 128.000 nuovi casi al mese nel corso degli ultimi sei mesi, con infezioni che si verificano in tutto il mondo. Con Simda.AT, il vettore di infezione più comune che è stato identificato è la compromissione di siti web utilizzando injected JavaScript.

Una delle caratteristiche osservate dai ricercatori è la capacità di Simda di modificare i file host di un sistema compromesso. Per anni, Simda ha utilizzato tecniche anti-sandbox per eludere i rilevamenti. Nella maggior parte dei casi, il malware non funziona correttamente, o potrebbe dormire a tempo indeterminato quando il malware sospetta di essere in fase di installazione in un ambiente di ricerca di sicurezza come l'MMPC di Microsoft. Durante l'installazione, Simda.AT modifica anche il file %SYSTEM32%\drivers\etc\hosts aggiornando il contenuto e cambiando gli attributi di file di sola lettura e nascosti.

I campioni più recenti hanno preso di mira le comunicazioni di rete agli URL connect.facebook.net e google-analytics.com. Campioni più anziani hanno preso come target l'host Bing.com. Per saperne di più sulla famiglia Simda, consultare Win32/Simda. CERTS nazionali e regionali  verranno aggiornati per trasmettere informazioni ai propri partner per la mitigazione del rischio. Microsoft ha sviluppato un free agent di pulizia per Simda. Se si è stati infettati da Simda.AT, eseguire una scansione completa del proprio ambiente utilizzando Microsoft Safety Scanner, Microsoft Security Essentials o Windows Defender.

Kaspersky Lab ha creato una pagina web di auto-controllo in cui il pubblico può vedere se il proprio indirizzo IP è parte di una botnet Simda: https://checkip.kaspersky.com. Scansioni antivirus gratuite sono disponibili presso: Kaspersky Lab:  www.kaspersky.com/security-scan Trend Micro: http://housecall.trendmicro.com/ Cyber Defense Institute: www.cyberdefense.jp/simda/ Gli utenti dovrebbero pulire i loro PC regolarmente, soprattutto dopo aver trovato il proprio computer infettato da Simda perchè anche dopo la sua rimozione potrebbe risiedere ancora del malware.




Nessun commento:

Posta un commento