„GameOver” ZeuS i CryptoLocker. „Operacja Tovar”

Zdjęcie botnetu ZeuS GameOver

Od piątku, 30 maja mamy do czynienia z niemal bezprecedensowym przykładem globalnej współpracy między organami ścigania w 11 krajach. We wspólnej pracy uczestniczą policjanci z USA, Kanady, Francji, Włoch, Japonii, Luksemburga, Niemiec, Nowej Zelandii, Holandii, Ukrainy i Wielkiej Brytanii. Dołączyły do nich  służby Europolu oraz przedstawiciele sektorów prywatnych. Wszystkie te agencje oraz firmy MacAfee i TrendMicro doprowadziły do zdjęcia botnetu Zeus Gameover co nazwano „Operacją Tovar”. 

Organy ścigania, dostawcy usług internetowych i branża bezpieczeństwa informacji pracują razem w celu zwalczania zagrożenia stwarzanego przez dwie konkretne rodziny szkodliwego oprogramowania; Cryptolocker i P2PZeuS (aka GameOverZeuS). Wszystkie te agencje wraz z firmami MacAfee i TrendMicro doprowadziły do zdjęcia botnetu Zeus Gameover.

Cryptolocker i P2PZeuS (aka GameOverZeuS)

P2PZeuS jest ewolucją wyrafinowanego złośliwego oprogramowania bankowego, który ma na celu kradzież poświadczeń finansowych i innych, które to przestępca następnie odsprzedaje na rynku podziemnym.

Cryptolocker używa silnego szyfrowania do plików ofiary całkowicie niedostępnego, dopóki nie zostanie wpłacony okup.

 

Jakich systemów dotyczy zagrożenie?

Cyberprzestępcy wykorzystywali botnet ZeuS GameOver do wysyłania spamu oraz używali technik phishingowych do zainfekowanych komputerów osobistych i serwerów internetowych.

ZeuS GameOver dotyczy systemów operacyjnych Microsoft:

Microsoft Windows 95, 98, Me, 2000, XP, Vista, 7 i 8
Microsoft Server 2003, Server 2008, Server 2008 R2 i Server 2012

Jak to zrobiono?

Cała akcja jest szczególnie interesująca z technicznego punktu widzenia, ponieważ jest to betnet P2P, który to jest bardzo trudno unieszkoliwić ze względu na jego wiele zabezpieczeń (np: ciągła zmiana adresacji serwera command&control czy szyfrowanie komunikacji). Zastanawiające jest więc techniczne zaplecze całej akcji. Jak wszystkim tym instytucjom, firmom i naukowcom zaangażowanym w tę sprawę udało się przejąć kontrolę nad botnetem GameOver?

Trwa w tej chwili akcja usuwania złośliwego oprogramowania

Rozpoczęto akcję demontażu Zeusa GameOver i infrastruktury CryptoLocker. Trwa w tej chwili akcja usuwania złośliwego oprogramowania z zainfekowanych komputerów. Ponieważ, uczestnicy operacji sądzą, że przestępcy będą mocno pracowali nad odzyskaniem kontroli nad botnetem, namawiają do szybkiego działania. Ustalono umownie 2 tygodnie, (prawdopodobnie tyle może właśnie potrwać odzyskiwanie kontroli nad botnetem) aby zapobiec zainfekowaniu komputerów komunikujących się ze sobą i osłabić infrastrukturę przestępczą. Do akcji włączają się także instytucje, w szczególności dostawcy usług internetowych. Użytkownicy mogą więc otrzymywać powiadomienia od swoich dostawców usług internetowych – nie należy tego zignorować!

Twórcy botnetu

Głównym podejrzanym – jako twórca botnetu ZeuS GameOver jest niejaki Evgeniy Mikhailovich Bogachev – obywatel Federacji Rosyjskiej, przebywający najprawdopodobniej na jej terytorium (niewykluczone, że pływa sobie łódką po M.Czarnym, co podobno jest jego hobby).

Federalne Biuro Śledcze (FBI) opublikowało ​​list gończy za rosyjskim cyberprzestępcą – EVGENIYEM Mikhailovichem Bogachevem alias („lucky12345” i „Slavik”). Według strony internetowej FBI „Bogachev” został postawiony w stan oskarżenia pod pseudonimem „lucky12345” przez federalne jury w stanie Nebraska.

Firmy MacAfee i TrendMicro udostępniły darmowe narzędzia do usuwania złośliwego oprogramowania

Firmy MacAfee i TrendMicro udostępniły darmowe narzędzia do usuwania złośliwego oprogramowania z systemu i zapewnienia sobie odpowiedniej ochrony, również przed tego typu infekcjami w przyszłości.

http://blog.trendmicro.com/cryptolocker-gozeus/?cm_mmc=Social-_-LinkedIn-_-LI:Company%2BPage-_-sf25843453#sf25843453
http://www.mcafee.com/us/downloads/free-tools/how-to-use-stinger.aspx

Nowy standard w imię bezpieczeństwa w Internecie

Obserwujemy kolejne działania międzynarodowe, które mamy nadzieję wytyczają nowe standardy w sprawach związanych z walką z cyberprzestępcami. Ta prawdziwa globalna współpraca pokazała skoordynowane działania mające na celu osiągnięcie wspólnego celu, którego nie jesteśmy w stanie osiągnąć sami. Jak widać do pełnego sukcesu potrzebna jest współpraca zarówno na poziomie państw, instytucji, operatorów telekomunikacyjnych, CERT-ów i innych firm i organizacji,  jak i poszczególnych użytkowników komputerów. Jak się okazuje każdy podmiot w sieci, w tym i jej zwykły użytkownik ma tu swoją rolę do odegrania. Ten ostatni powinien się obecnie skupić na dokładnym sprawdzeniu bezpieczeństwa swojego komputera do czego zachęcamy wszystkich Internautów.

Czy „Operacja Tovar” zakończy się sukcesem? Czas pokaże.

FBI na swojej stronie ogłosiło międzynarodową akcję, mającą na celu likwidację botnetu Zeus GameOver – http://www.fbi.gov/news/pressrel/press-releases/u.s.-leads-multi-national-action-against-gameover-zeus-botnet-and-cryptolocker-ransomware-charges-botnet-administrator  jednocześnie podkreślając, że nie uzyskali dostępu czy też nie modyfikowali komputerów ofiar a jedynie pomagali dostawcom sieci Internet we współtworzeniu blokady i przekierowaniach sieciowych utrudniających komunikację z siecią botnet. Pozostaje mieć nadzieję, że tak faktycznie jest.

 

Źródło foto:   Trend Micro,   http://www.fbi.gov/

 

Share Button