Video: Citadel Botnet in Action (Octombrie 2024)
Bucura! Botnet-ul Citadel a scăzut! Calculatoarele pe care le-a înrobit odată sunt gratuite, iar lumea va fi setată corect. Ei bine, nu chiar, dar Microsoft a anunțat ieri că s-au asociat cu FBI-ul și alte organizații pentru a lua 1.462 de botnete independente cunoscute, în afara Citadel-ului.
Acțiunea, condusă de Microsoft, este facturată ca un succes major. Într-un comunicat al FBI, biroul a scris că au participat "la operațiuni separate, dar coordonate", implicând Microsoft și alte companii. "FBI a furnizat informații omologilor străini în materie de aplicare a legii, astfel încât aceștia să poată lua măsuri voluntare și asupra infrastructurii botnet situate în afara Statelor Unite", a scris biroul. "FBI-ul a obtinut si a servit, de asemenea, mandate de cautare autorizate de instanta, legate intern de botnets".
The Takedown
Microsoft a început cercetările asupra Cetății în 2012 și a descoperit rapid amploarea masivă a operațiunii ilegale. Aceștia au scris într-un comunicat de presă că Cetatea a infectat peste cinci milioane de calculatoare din 90 de țări, inclusiv SUA, Europa, China, India și Australia. Microsoft estimează că malware-ul a fost responsabil pentru furtul unei jumătăți de miliarde de dolari atât de la persoane fizice, cât și companii.
Primul pas în abandonarea serverelor a început la Curtea de District SUA pentru Districtul de Vest din Carolina de Nord, care a autorizat Microsoft să taie comunicațiile dintre 1.462 de botete Citadela și computerele infectate.
"Pe 5 iunie, Microsoft, escortat de marșii americani, a confiscat date și dovezi de pe botnets", a scris compania de software. Aceasta includea serverele de la facilitățile de găzduire de date din New Jersey și Pennsylvania.
Ken Pickering, strategul de securitate al CORE Security, a spus că acest tip de parteneriat public-privat a fost un lucru bun. "Există anumite abilități și talente în sectorul privat care nu sunt în sectorul public", a spus el.
Pickering a continuat să spună că eliminarea Citadelului este bună și pentru Microsoft. El a explicat că „acestea sunt exploatări ale produsului lor și afectează baza lor de utilizatori”.
Ce este Cetatea
Dacă ești un cititor obișnuit al SecurityWatch, probabil ai văzut Citadel menționat anterior. Este probabil cel mai cunoscut pentru a fi sarcina utilă rău intenționată în debacul de publicitate NBC.com, unde un anunț achiziționat legal conținea cod rău intenționat.
În momentul atacului NBC, Malwarebyets a spus PC Mag că Citadela are sediul în Troian Banking Troian. În comunicatul publicat ieri cu privire la decolare, Microsoft a menționat în mod special capacitățile de cheylogging ale Citadelului și modul în care a fost folosit pentru a compromite conturile bancare ale victimei.
"Deoarece operatorii au folosit programul malware pentru a fura acreditările bancare online ale victimelor și pentru a efectua tranzacții frauduloase, liderii industriei serviciilor financiare, inclusiv FS-ISAC, NACHA, ABA și Agari, au susținut procesul civil Microsoft, funcționând ca declaranți în caz", a scris Microsoft.
Citadela se remarcă pentru diversitatea și ușurința de înființare, iar Symantec scrie că poate fi achiziționată pentru aproximativ 3.000 de dolari. Aceste 1.462 de botnete active menționate de Microsoft sunt rețele de computere infectate, independente una de cealaltă, dar toate care rulează același software sau similar. Sperăm că acest lucru va trimite un mesaj celorlalți ar deranja că Cetatea ar putea să nu fie instrumentul de alegere.
Deși este dificil să se stabilească numărul exact de botnete ale Cetății în sălbăticie, Pickering a fost optimist. "Cred că au perturbat o mare parte din ei", a spus el.
Cu toate acestea, el a menționat, de asemenea, că multe botnete sunt în afara SUA. "O mare parte din botnete operează în Ucraina și Rusia", a declarat Pickering.
Ce urmeaza
Lucrul important de reținut este că Cetatea nu este moartă. "Datorită dimensiunii și complexității amenințării, Microsoft și partenerii săi nu se așteaptă să elimine complet toate botnetele care folosesc Citadel", a scris Microsoft. "Cu toate acestea, este de așteptat ca această acțiune să perturbe semnificativ operațiunile botnet-urilor, făcând-o mai riscantă și mai costisitoare pentru cibernetici să continue să facă afaceri și să permită victimelor să-și elibereze calculatoarele de malware."
În timp ce eliminarea serverelor a stricat cu siguranță botnetul, creșterea riscurilor și a costurilor pentru organizațiile și persoanele care rulează botnetele Citadel este probabil mai valoroasă. Cea mai mare parte a criminalității informatice este un joc de numere, bazat pe o mulțime de succese - uneori succese mici - pentru a câștiga bani. Când o metodă de atac devine prea dificilă sau prea scumpă, infractorii sunt obligați să inoveze sau să renunțe.
Cel mai important pas următor este eliminarea malware-ului Citadel de pe computerele infectate, astfel încât botnetele Citadel să nu poată fi reînviate ulterior. "Imediat după întrerupere, Microsoft va folosi informațiile despre amenințări adunate în timpul sechestrului pentru a lucra cu furnizorii de servicii de internet și echipele de intervenție în caz de urgență ale computerului din întreaga lume pentru a notifica rapid și eficient oamenii dacă computerul lor este infectat", a scris Microsoft. Dacă știți deja că ați fost infectat, instrumente de eliminare a malware-ului, cum ar fi Editorii noștri Malwarebytes Anti-Malware 1.70 ar fi un prim pas bun pentru curățarea computerului.
Chiar dacă Citadel nu este cu adevărat mort, Microsoft, FBI-ul și toți ceilalți jucători indică rapid că doar a lucra împreună a fost o victorie. Sperăm că vom avea mai multe povești bune despre alte super-grupuri care lucrează pentru a-i elimina pe cei răi.
