Το FBI, η Εθνική Υπηρεσία Εγκλήματος του Ηνωμένου Βασιλείου, καθώς και μια σειρά από διεθνείς υπηρεσίες επιβολής του νόμου αποδυνάμωσαν δύο από τις πιο επικίνδυνες επιχειρήσεις οικονομικής απάτης του κόσμου: το Gameover Zeus botnet και το δίκτυο ransomware Cryptolocker.
Σε συνεργασία με έναν αριθμό εταίρων του ιδιωτικού τομέα, συμπεριλαμβανομένης και της Symantec, το FBI έχει κατασχέσει αρκετές από τις υποδομές που χρησιμοποιήθηκαν από τις δύο αυτές απειλές. Για να ανταποκριθεί η Symantec έχει δημιουργήσει ένα νέο εργαλείο, το οποίο τα θύματα μπορούν να χρησιμοποιήσουν για να αφαιρέσουν πλήρως το Gameover Zeus.
Το Gameover Zeus είναι υπεύθυνο για εκατομμύρια μολυσμένα συστήματα σε όλο τον κόσμο από τις αρχές Σεπτεμβρίου του 2011. Οι επιτιθέμενοι το χρησιμοποιούν για να παρακολουθούν τις online τραπεζικές συναλλαγές, εξαπατώντας εκατοντάδες πελάτες χρηματοπιστωτικών ιδρυμάτων σε παγκόσμιο επίπεδο. Σε μια πρόσφατη ενημέρωση, ένα lowl evel driver component δημιουργήθηκε για να αποτρέψει την απομάκρυνση του Trojan. Η Symantec παρέχει ένα νέο εργαλείο για την απομάκρυνσή του, μαζί με τα πρόσθετα στοιχεία του Trojan.
Το Cryptolocker αποτελεί μια από τις τελευταίες και πιο απειλητικές μορφές ransomware που έχουν δημιουργηθεί. Λειτουργεί κρυπτογραφώντας τα αρχεία του θύματος από τον σκληρό του δίσκο. Αντίθετα με τις περισσότερες απειλές κακόβουλου λογισμικού, δεν έχει βρεθεί fixπου να μπορεί να αποκρυπτογραφήσει τα δεδομένα που επηρεάζονται. Αυτό αφήνει το θύμα εκτεθειμένο είτε στην απώλεια προσωπικών αρχείων είτε στο να πληρώσει τους επιτιθέμενους.
GameoverZeus: Η προηγμένη οικονομική απάτη Trojan
Το GameoverZeusείναι μια παραλλαγή του Trojan.Zbot, συχνά γνωστό απλά ως «Zeus», που χρησιμοποιεί ένα peer-to-peerδίκτυο και το domain generation algorithm (DGA) για τη δημιουργία εντολής και κατόπιν τον έλεγχο αυτής. Για να αποτραπεί το Gameover Zeus έχουν απενεργοποιηθεί βασικά nodesσε peerδίκτυα μαζί με τα πεδία που παράγονται από το DGA.
Η Symantec παρακολουθεί αυτό το botnet από την πρώτη στιγμή που εμφανίστηκε. Ο botmaster έχει διατηρήσει ένα σχετικά σταθερό δίκτυο εκατοντάδων χιλιάδων μολυσμένων υπολογιστών σε όλο τον κόσμο.
Το Gameover θα μπορούσε να θεωρηθεί η πιο προηγμένη εκδοχή του Zeus, και σε αντίθεση με άλλες παραλλαγές, όπως τα Citadel και IceX Trojans, δεν είναι για μεταπώληση. Το botnet μπορεί να χρησιμοποιηθεί για να διευκολύνει την οικονομική απάτη σε μεγάλη κλίμακα, υποκλέπτοντας χιλιάδες ηλεκτρονικές τραπεζικές συναλλαγές των θυμάτων. Η ομάδα πίσω από το Gameover Zeus το χρησιμοποιεί για την εκτέλεση αυτών των δραστηριοτήτων σε πραγματικό χρόνο. Το Gameover Zeusσυνήθως διανέμεται μέσω ηλεκτρονικού ταχυδρομείου το οποίο παρουσιάζεται ως τιμολόγιο. Όταν ο χρήστης που έχει μολυνθεί επισκέπτεται την ιστοσελίδα του τραπεζικού του λογαριασμού μέσω ενός εκτεθειμένου υπολογιστή, το Gameover παρακολουθεί σε απευθείας σύνδεση την ηλεκτρονική συναλλαγή, χρησιμοποιώντας μια τεχνική γνωστή ως man-in-the-browser (MITB). Το γεγονός αυτό μπορεί να παρακάμψει το two factor authentication και να εμφανίσει παραπλανητικά μηνύματα τραπεζικής ασφάλειας στον χρήστη με στόχο να αποκτήσει πληροφορίες για την έγκριση της συναλλαγής. Από τη στιγμή που οι επιτιθέμενοι λάβουν αυτές τις πληροφορίες μπορούν πλέον να τροποποιήσουν τις τραπεζικές συναλλαγές των χρηστών και να υποκλέψουν τα χρήματά τους.
Η Symantec συνεχίζει να παρακολουθεί το δίκτυο Gameover και να ενημερώνει παρόχους υπηρεσιών Διαδικτύου (ISPs), και τους CERTs σε όλο τον κόσμο. Αυτά τα δεδομένα χρησιμοποιούνται για να βοηθήσουν στον εντοπισμό και στην ενημέρωση των θυμάτων σε μία συνεχή προσπάθεια απομάκρυνσης του botnet.
Cryptolocker: Ένα αποτελεσματικό εργαλείο εκβιασμού
Το Cryptolocker είναι μία από τις πολυάριθμες απειλές ransomware, οι οποίες επιχειρούν να αποσπάσουν χρήματα από τα θύματα τους, κλειδώνοντας τον υπολογιστή τους ή κρυπτογραφώντας τα αρχεία τους. Το Cryptolocker είναι μία από τις πιο επικίνδυνες παραλλαγές του ransomware, δεδομένου ότι χρησιμοποιεί ισχυρή κρυπτογράφηση που δεν μπορεί να παραβιαστεί.
Η απειλή εμφανίστηκε για πρώτη φορά τον Σεπτέμβριο 2013, και ενώ εξακολουθεί να περιλαμβάνει μόνο ένα μικρό ποσοστό των συνολικών μολύνσεων ransomware, έχει κεντρίσει το δημόσιο ενδιαφέρον, επειδή τα θύματα που δεν έχουν κάνει backupτα αρχεία τους, κινδυνεύουν να τα χάσουν αν δεν πληρώσουν τα λύτρα.
Το Ransomware, συμπεριλαμβανομένου και του Cryptolocker, αποδείχθηκε ότι είναι εξαιρετικά προσοδοφόρο για τους επιτιθέμενους. Οι έρευνες της Symantec δείχνουν ότι κατά μέσο όρο το 3% των μολυσμένων χρηστών θα πληρώσει τα λύτρα. Πιστεύουμε ότι οι διανομείς ransomware έχουν αναμφίβολα κερδίσει δεκάδες εκατομμύρια δολάρια το προηγούμενο έτος.
Τα θύματα συνήθως έχουν προσβληθεί από spam emails, τα οποία χρησιμοποιούν τακτικές ‘social engineering’ για να τους δελεάσουν να ανοίξουν το συνημμένο αρχείο zip.
Προστασία
Η Symantec έχει κυκλοφορήσει ένα νέο εργαλείο που απομακρύνει το στοιχείο του Gameover Zeus. Επισκεφθείτε την σελίδα (http://www.symantec.com/security_response/writeup.jsp?docid=2014-052915-1402-99) για να κατεβάσετε το εργαλείο, που θα σας επιτρέψει να καταργήσετε αυτό το στοιχείο και στη συνέχεια να αφαιρέστε πλήρως το Gameover Zeus.