FBI și National Crime Agency, alături de un număr de agenții internaționale de aplicare a legii, au intervenit și au oprit cu success două dintre cele mai periculoase operațiuni de fraudă financiară de natură informatică: rețeaua de botnet Gameover Zeus și rețeaua de ransomware Cryptolocker.
Cu sprijinul Symantec și a altor parteneri din sectorul privat, FBI a confiscat un volum impresionat de infrastructură informatică utilizată de cele două rețele de infracțiuni cibernetice.
Symantec a dezvoltat și lansat o soluție de securitate împotriva Gameover Zeus, care elimină complet această amenințare de pe dispozitivele infectate.
Rețeaua botnet Gameover Zeus este responsabilă pentru infectarea a milioane de sisteme de la apariția sa, în luna septembrie 2011. Atacatorii cibernetici se folosesc de rețeaua botnet pentru a intercepta tranzacții financiare efectuate prin Internet banking, cu scopul de a frauda clienții a sute de instituții bancare din întreaga lume. Într-un update recent al rețelei, un driver de acțiune low-level a fost introdus pentru a evita eliminarea programului Trojan.
Symantec le oferă utilizatorilor un instrument dedicat pentru eliminarea amenințării Gameover Zeus, cu toate componentele sale.
Cryptolocker este una dintre cele mai agresive rețele de ransomware din lume. Rețeaua își bazează operațiunile pe criptarea fișierelor de pe computerele victimelor. Spre deosebire de majoritatea infectărilor cu programe malware, nu a fost descoperită nici o soluție pentru decriptarea datelor informatice afectate de atacatori. Astfel, victimele Cryptolocker au doar două posibilități: fie pierd datele personale, fie plătesc atacatorilor sume de bani pentru răscumpărarea pentru deblocare, scenarii nefavorabile.
Gameover Zeus: Programul troian avansat pentru fraudă financiară
Gameover Zeus este o variantă îmbunătățită a Trojan Zbot, cunoscută sub pseudonimul Zeus. Acesta folosește o rețea peer-to-peer și un algoritm de generare de domenii web (Domain Generation Algorithm, DGA) pentru a obține controlul asupra dispozitivelor infectate. În acțiunile de blocare a operațiunilor Zeus, anumite noduri din rețeaua peer-to-peer au fost dezactivate, alături de domeniile generate de algoritmul DGA.
Symantec monitorizează activitățile rețelei botnet încă de la apariție. Administratorul de rețea (botmaster) menține cu îndemânare o rețea stabilă de ordinul sutelor de mii de computere infectate în toată lumea.
Top 6 țări afectate de Gameover Zeus 2013 / 2014
SUA: 13% | Italia: 12% | Emiratele Arabe Unite: 8% | Japonia: 7% | Marea Britanie: 7% | India: 5%
Infectările cu Zeus sunt internaționale, acestea dăunează în principal Statele Unite și Italia.
Imagine 1. Țări afectate cu preponderență de atacurile Gameover Zeus
Gameover poate fi considerat cea mai avansată variantă de Zeus, iar spre deosebire de variantele Citadel sau IceX Trojan, nu este folosită pentru revânzarea datelor. Rețeaua botnet poate fi folosită pentru a facilita fraude financiare de mare amploare, datele personale ale victimelor rețelei fiind deturnate. Gruparea infracțională din culisele Gameover Zeus folosește rețeaua botnet pentru a frauda utilizatori în timp real.
Gameover Zeus se distribuie prin email, prin mesaje care conțin presupuse facturi din partea unei instituții bancare. Odată ce utilizatorul infectat își vizitează website-ul bancar de pe un computer infectat, Gameover interceptează sesiunea de internet banking folosind tehnica de infiltrare așa-numită persoana-din-interiorul browser-ului (Man-In-The-Browser, MITB). MITB poate ocoli procedurile de autentificare în doi pași și afișează un mesaj de securitate fraudulos, aparent din partea instituției bancare, pentru a obține informații cu privire la datele personale de autentificare și autorizare de tranzacții. Odată ce atacatorii cibernetici obțin detaliile dorite, aceștia pot prelua controlul și modifica datele de tranzacționare ale utilizatorilor și le pot fura banii.
Experiența tipică a unui utilizator-victimă în decursul unei tranzacții online
Atacator | Victimă | Bancă
1. Vizită pe website-ul băncii
2. Cerere de autentificare
3. Interceptarea sesiunii de autentificare
4. Autentificarea atacatorilor și tentativele de tranzacționare
5. Întrebări suplimentare de securitate
6. Alte întrebări pentru deturnarea de informații
7. Răspunsul la întrebări
8. Răspunsul la întrebări suplimentare de securitate
9. Confirmarea unei tranzacții complete
10. Mesajul „Revino în 24 de ore”
Atacatorii au configurat Gameover Zeus pentru a frauda clienții a sute de instituții financiare din întreaga lume.
Imagine 2. Experiența tipică a unui utilizator deturnat de o tentativă de tranzacție frauduloasă.
Având în vedere modul sofisticat de funcționare a programului Trojan, echipa din culisele atacurilor pare a fi bine fundamentată și implicată și probabil a derulat atacuri prin operațiuni financiare cu mult înaintea apariției Gameover Zeus. Programul Trojan evoluează odată cu scurgerea codului-sursă al Zeus pe Internet, în luna mai 2011.
A existat o perioadă de dezvoltare rapidă care include adoptarea unor diagrame alternative de criptare a sesiunilor de autentificare, un algoritm de generare domenii web (DGA) și, în mod special, o cale de comunicație peer-to-peer. Îmbunătățirile aduse decentralizează server-ul de Command & Control (C&C), astfel rețeaua își menține baza de sisteme infectate și devine rezilientă la tentativele de neutralizare.
În anul 2014, Gameover adoptă un driver low-level pentru a preveni dezinstalarea programului malware de pe sistemul infectat. Acest driver are caracteristici similare cu o amenințare cibernetică denumită Backdoor Necurs. Este totuși improbabil ca gruparea Gameover Zeus să fi dezvoltat acest Trojan, fiind posibil ca aceasta să fi cumpărat componenta de la părți terțe. Nivelul de complexitate al eliminării acestei amenințări cibernetice întâmpină, astfel, un strat suplimentar de reziliență (consultă link-ul către instrumentul de eliminare a amenințării furnizat mai jos).
Dimensiunile rețelei botnet Gameover P2P – 2013/ 2014
Diagramă
Dimensiuni monitorizate | Dimensiuni estimate
Administratorul rețelei botnet (botmaster) menține operațională o rețea de sute de mii de computer-e infectate pe tot globul
Imagine 3. Dimensiunea rețelei de botnet P2P Gameover Zeus
Gameover Zeus a evitat cel puțin două tentative de blocare a atacurilor și oprire a rețelei botnet, în primăvara și toamna anului 2012. Gruparea Gameover Zeus monitorizează îndeaproape activitatea suspectă pentru a proteja rețeaua existentă de computere compromise. Activitatea Gameover Zeus s-a dovedit a fi foarte profitabilă, astfel că gruparea depune eforturi importante pentru a identifica punctele slabe ale rețelei și a le reconstrui dacă este necesar, protejând astfel rețeaua și asigurând potențialele câștiguri. Succesul pe termen lung al celui mai recent atac Gameover rămâne de aflat.
Symantec monitorizează în continuare rețeaua Gameover și oferă în mod activ informații furnizorilor de servicii Internet și echipelor de răspuns în cazuri de urgență a afecțiunilor de computer (Computer Emergency Response Teams, CERT) din întreaga lume. Informațiile obținute sunt folosite pentru a identifica și notifica utilizatorii care au devenit victime ale rețelei, eforturile de curățarea completă a rețelei botnet fiind susținute succesiv.
Cryptolocker: O unealtă eficientă de fraudă financiară
Cryptolocker este una dintre cele mai eficiente amenințări cu program ransomware, tehnica utilizată pentru a sustrage sume de bani de la utilizatorii-victime prin blocarea computerului sau criptarea fișierelor proprii de pe sistem. În prezent, Cryptolocker face parte dintre cele mai periculoase variante de program ransomware existente în prezent, deoarece parametrii de criptare sunt dificil de surmontat.
Amenințarea Cryptolocker apare în premieră în luna septembrie 2013. Deși acoperă un procent mic din totalitatea infectărilor cu programe malware, atenția publicului este captată din pricina faptului că victimele care nu au back-up pentru fișierele lor își pot pierde informațiile dacă nu plătesc suma cerută de atacatori.
Programele ransomware, inclusiv Cryptolocker, își dovedesc profitabilitatea pentru atacatori. Cercetările Symantec indică faptul că, în medie, 3% dintre utilizatorii infectați vor plăti suma solicitată. Astfel, este probabil că distribuitorii de programe ransomware au câștigat zeci de milioane de dolari numai anul trecut.
Victimele sunt de obicei infectate prin intermediul emailului și mesajelor de tip spam și sunt folosite tactici și inginerii sociale care atrag curiozitatea cititorului, pentru ca apoi să suscite interesul acestora de a deschide fișierul comprimat .zip, în esență, o „momeală”.
Subject: Factură (sau document oficial din partea unei instituții bancare)
Mesaj:
Dragă XXX,
Vei găsi atașată o copie a facturii emise care figurează drept neplătită în baza noastră de date.
Te rugăm să iei act de această chestiune și recomandăm să ne comunici o dată de plată convenabilă.
Mulțumiri,
Credit Control
Tel: XXX
Imagine 4. Un exemplu de mesaj spam trimis din partea Cryptolocker
Dacă utilizatorii vizați de atacatori deschid atașamentul din mail, va fi lansat un fișier executabil deghizat sub aparența unei facturi sau document similar, în funcție de tema de comunicare a mail-ului. Fișierul executabil va descărca automat programul Trojan Zbot, adică Zeus.
Odată infectat cu Zeus, un computer poate să descarce de pe Internet și Trojan Cryptolocker. Cryptolocker contactează ulterior un server de Command & Control (C&C), a cărui adresă este generată folosind algoritmul de generare domenii (DGA). Odată găsit un server C&C, Cryptolocker va descărca o „cheie” publică folosită pentru a cripta fișierele de pe computerul infectat. Cheia privată, anexată criptării, necesară pentru decriptarea fișierelor, rămâne pe server-ul C&C.
Protecție
Symantec oferă spre beneficiul clienților un nou instrument care înlătură componenta Gameover Zeus prin care este dezactivat programul antivirus. Vizitează această pagina pentru a descărca instrumentulsi vei elimina cu siguranță această componentă pentru a reuși, ulterior, să elimini complet infectarea cu Gameover Zeus.
Denumirile de Gameover Zeus descoperite de antivirus:
Trojan.Zbot
Trojan.Zbot!gen26
Trojan.Zbot!gen27
Trojan.Zbot!gen29
Trojan.Zbot!gen30
Trojan.Zbot!gen32
Trojan.Zbot!gen38
Trojan.Zbot!gen39
Trojan.Zbot!gen42
Trojan.Zbot!gen43
Trojan.Zbot!gen49
Trojan.Zbot!gen51
Trojan.Zbot!gen54
Trojan.Zbot!gen55
Trojan.Zbot!gen58
Trojan.Zbot!gen60
Trojan.Zbot!gen62
Trojan.Zbot!gen63
Trojan.Zbot!gen64
Trojan.Zbot!gen65
Trojan.Zbot!gen67
Trojan.Zbot!gen71
Trojan.Zbot!gen72
Trojan.Zbot!gen73
Detectări de componente din aceeași categorie:
Downloader
Hacktool.Rootkit
Downloader.Dromedan
Downloader.Upatre
Downloader.Ponik
Trojan.Pandex
Trojan.Cryptolocker
Semnături ale modulelor de prevenire a intruziunilor
System Infected: Zbot Activity
System Infected: ZBOT Request
System Infected: Zbot Trojan Request 2
System Infected: Zbot Trojan Request 3
System Infected: Trojan.Zbot Activity 3
System Infected: Trojan.Zbot Activity 6
System Infected: Trojan.Zbot Download Request
System Infected: Trojan.Zbot Download Request 2
System Infected: Trojan.Zbot Download Request 3
System Infected: Trojan.Zbot P2P Communication 3
System Infected: Trojan.Zbot P2P Communication 4
System Infected: Trojan.Zeus P2P Communication
System Infected: Trojan.Zeus P2P Communication 2
System Infected: Trojan Zbot Post Install
System Infected: Trojan Zeus Activity
System Infected: Trojan.Cryptolocker
Clienții Symantec care folosesc serviciul Symantec Cloud sunt, de asemenea, protejați împotriva acestor amenințări.
Lasă un răspuns