Vídeo: FBI offers $3m reward for GameOver Zeus creator Russian hacker Evgeniy Bogachev (De novembre 2024)
Alegrem-nos! La botnet de Ciutadella ha caigut! Els ordinadors que va ser esclavitzat són gratuïts i el món serà correcte. Bé, no del tot, però Microsoft va anunciar ahir que es van associar amb el FBI i altres organitzacions per prendre 1.462 botnets de Ciutadella independents coneguts fora de línia.
L’acció, dirigida per Microsoft, s’està facturant com un èxit important. En una publicació del FBI, l'oficina va escriure que participaven "en operacions separades però coordinades" que involucraven Microsoft i altres empreses. "L'FBI va proporcionar informació a homòlegs externs de l'aplicació de la llei perquè poguessin emprendre accions voluntàries sobre infraestructures de botnet situades fora dels Estats Units", va escriure el gabinet. "L'FBI també va obtenir i va servir mandats de cerca autoritzats pels tribunals relacionats amb les botnets".
The Takedown
Microsoft va iniciar la seva investigació sobre Citadella el 2012 i va descobrir ràpidament l'abast massiu de l'operació il·legal. Van escriure en un comunicat de premsa que la Ciutadella havia infectat més de cinc milions d’ordinadors a 90 països, entre els quals els EUA, Europa, la Xina, l’Índia i Austràlia. Microsoft estima que el programari maliciós va ser el responsable de robar mig milió de dòlars tant a particulars com a empreses.
El primer pas per enderrocar els servidors es va iniciar al Tribunal de Districte dels Estats Units per al districte occidental de Carolina del Nord, que va autoritzar Microsoft a tallar les comunicacions entre 1.462 botifetes de la Ciutadella i els ordinadors infectats.
"El 5 de juny, Microsoft, escortada pels mariscals nord-americans, va capturar dades i proves de les botnets", va escriure la companyia de programari. Inclouen servidors d'instal·lacions d'allotjament de dades a Nova Jersey i Pennsilvània.
Ken Pickering, estrateg de seguretat de CORE Security, va dir que aquest tipus de col·laboració pública-privada era una bona cosa. "Hi ha certes habilitats i talents al sector privat que no són al sector públic", va dir.
Pickering va afirmar que també per Microsoft emplenar Citadel és bo. Va explicar, "es tracta d’explotacions del seu producte i afecten la seva base d’usuaris".
Què és Ciutadella
Si sou un lector habitual de SecurityWatch, probablement heu vist Citadel abans mencionat. Probablement sigui més conegut per ser la càrrega útil maliciosa de la discoteca publicitària de NBC.com, on un anunci legalment comprat contenia codi maliciós.
En el moment de l'atac de la NBC, Malwarebyets va dir al PC Mag que la Ciutadella es basa en el Zeian Banking Trojan. A la publicació d'ahir sobre el despreniment, Microsoft va fer una explicació específica de les funcions de keylogging de Citadel i de com es va utilitzar per comprometre els comptes bancaris de la víctima.
"Com que els operadors utilitzaven el programari maliciós per robar les credencials bancàries en línia de les víctimes i fer transaccions fraudulentes, els líders de la indústria de serveis financers, inclosos FS-ISAC, NACHA, ABA, i Agari van donar suport a la demanda civil de Microsoft, fent de declarants en el cas", va escriure Microsoft.
Citadel destaca per la seva diversitat i facilitat de creació i Symantec escriu que es pot adquirir per uns 3.000 dòlars. Aquestes 1.462 botnets actives esmentades per Microsoft són xarxes d’ordinadors infectats independents els uns dels altres, però tots funcionen amb el mateix (o similar) programari. Tant de bo, això enviï un missatge a altres que molestaran que la ciutadania pot no ser l'eina que tria.
Tot i que és difícil determinar el nombre exacte de botnets de la Ciutadella en estat salvatge, Pickering era optimista. "Crec que han fet malbé una gran part d'ells", va dir.
Tot i això, també va assenyalar que moltes botnets es troben fora dels Estats Units. "Una gran part de botnets funciona a Ucraïna i Rússia", va dir Pickering.
Que segueix
L’important a recordar és que la Ciutadella no està morta. "A causa de la mida i la complexitat de l'amenaça, Microsoft i els seus socis no esperen eliminar completament totes les botnets mitjançant Citadel", va escriure Microsoft. "Tot i això, s'espera que aquesta acció interrompi significativament el funcionament de les botnets, fent que sigui més arriscat i més car per als ciberdelinqüents que continuïn fent negocis i permetent a les víctimes alliberar els seus ordinadors del programari maliciós."
Si bé la retirada dels servidors ha inutilitzat la botnet, és probable que sigui més valuós augmentar el risc i el cost per a les organitzacions i individus que utilitzin botnets de Citadel. La majoria de la ciberdelinqüència és un joc de números, que es basa en molts èxits (de vegades petits èxits) per guanyar diners. Quan un mètode d’atac es torna massa difícil o massa car, els delinqüents es veuen obligats a innovar o renunciar.
El següent pas més important és eliminar el malware de Citadel dels ordinadors infectats de manera que les botnets de la Ciutadella no podran tornar a ressuscitar. "Immediatament després de la interrupció, Microsoft utilitzarà la intel·ligència d'amenaça recollida durant la confiscació per treballar amb proveïdors de serveis d'Internet i equips de resposta d'emergència informàtica a tot el món per avisar de manera ràpida i eficaç a la gent si el seu ordinador està infectat", va escriure Microsoft. Si ja sabeu que heu estat infectats, les eines d’eliminació de programari maliciós com el nostre Editors’Choice Malwarebytes Anti-Malware 1.70 seria un bon pas per netejar l’ordinador.
Malgrat que Citadel no sigui realment mort, Microsoft, l’FBI i tots els altres jugadors es mostren ràpidament que només treballar junts va ser una victòria. Tant de bo tinguem més bones notícies sobre altres supergrupaments que treballin per enderrocar els dolents.