Το FBI, η Εθνική Υπηρεσία Εγκλήματος του Ηνωμένου Βασιλείου, καθώς και μια σειρά από διεθνείς υπηρεσίες επιβολής του νόμου, αποδυνάμωσαν δύο από τις πιο επικίνδυνες επιχειρήσεις οικονομικής απάτης του κόσμου: το «Gameover Zeus botnet» και το δίκτυο ransomware «Cryptolocker». Σε συνεργασία με έναν αριθμό εταίρων του ιδιωτικού τομέα, συμπεριλαμβανομένης και της Symantec, το FBI έχει κατασχέσει αρκετές από τις υποδομές που χρησιμοποιήθηκαν από τις δύο αυτές απειλές. Για να ανταποκριθεί η Symantec έχει δημιουργήσει ένα νέο εργαλείο, το οποίο τα θύματα μπορούν να χρησιμοποιήσουν για να αφαιρέσουν πλήρως το Gameover Zeus.

Το Gameover Zeus είναι υπεύθυνο για εκατομμύρια μολυσμένα συστήματα σε όλο τον κόσμο από τις αρχές Σεπτεμβρίου του 2011. Οι επιτιθέμενοι το χρησιμοποιούν για να παρακολουθούν τις online τραπεζικές συναλλαγές, εξαπατώντας εκατοντάδες πελάτες χρηματοπιστωτικών ιδρυμάτων σε παγκόσμιο επίπεδο. Σε μια πρόσφατη ενημέρωση, ένα low level driver component δημιουργήθηκε για να αποτρέψει την απομάκρυνση του Trojan.

Το Cryptolocker αποτελεί μια από τις τελευταίες και πιο απειλητικές μορφές ransomware που έχουν δημιουργηθεί (ransomware: κακόβουλο λογισμικό με στόχο να δεσμεύσει χρηματικές καταθέσεις, με τους εγκληματίες να ζητούν λύτρα για την επιστροφή τους). Λειτουργεί κρυπτογραφώντας τα αρχεία του θύματος από τον σκληρό του δίσκο. Αντίθετα με τις περισσότερες απειλές κακόβουλου λογισμικού, δεν έχει βρεθεί η κατάλληλη επιδιόρθωση που να μπορεί να αποκρυπτογραφήσει τα δεδομένα που επηρεάζονται. Αυτό αφήνει το θύμα εκτεθειμένο είτε στην απώλεια προσωπικών αρχείων είτε στο να πληρώσει τους επιτιθέμενους.

Gameover Zeus: Η προηγμένη οικονομική απάτη Trojan

Το Gameover Zeus είναι μια παραλλαγή του «Trojan.Zbot», συχνά γνωστό απλά ως «Zeus», που χρησιμοποιεί ένα peer-to-peer δίκτυο και το domain generation algorithm (DGA) για τη δημιουργία εντολής και κατόπιν τον έλεγχο αυτής. Για να αποτραπεί το Gameover Zeus, έχουν απενεργοποιηθεί βασικά nodes σε peer δίκτυα μαζί με τα πεδία που παράγονται από το DGA.

Η Symantec παρακολουθεί αυτό το botnet από την πρώτη στιγμή που εμφανίστηκε. Ο botmaster έχει διατηρήσει ένα σχετικά σταθερό δίκτυο εκατοντάδων χιλιάδων μολυσμένων υπολογιστών σε όλο τον κόσμο.

Το Gameover θα μπορούσε να θεωρηθεί η πιο προηγμένη εκδοχή του Zeus, και σε αντίθεση με άλλες παραλλαγές, όπως τα «Citadel» και «IceX», δεν είναι για μεταπώληση. Το botnet μπορεί να χρησιμοποιηθεί για να διευκολύνει την οικονομική απάτη σε μεγάλη κλίμακα, υποκλέπτοντας χιλιάδες ηλεκτρονικές τραπεζικές συναλλαγές των θυμάτων. Η ομάδα πίσω από το Gameover Zeus, το χρησιμοποιεί για την εκτέλεση αυτών των δραστηριοτήτων σε πραγματικό χρόνο. Το Gameover Zeus συνήθως διανέμεται μέσω ηλεκτρονικού ταχυδρομείου το οποίο παρουσιάζεται ως τιμολόγιο. Όταν ο χρήστης που έχει μολυνθεί, επισκέπτεται την ιστοσελίδα του τραπεζικού του λογαριασμού μέσω ενός εκτεθειμένου υπολογιστή, το Gameover παρακολουθεί σε απευθείας σύνδεση την ηλεκτρονική συναλλαγή, χρησιμοποιώντας μια τεχνική γνωστή ως «man-in-the-browser» (MITB – «ενδιάμεσο άτομο» εντός του προγράμματος πλοήγησης Διαδικτύου). Το γεγονός αυτό, μπορεί να παρακάμψει το two factor authentication (πιστοποίηση προσωπικών στοιχείων δύο βημάτων) και να εμφανίσει παραπλανητικά μηνύματα τραπεζικής ασφάλειας στον χρήστη, με στόχο να αποκτήσει πληροφορίες για την έγκριση της συναλλαγής. Από τη στιγμή που οι επιτιθέμενοι λάβουν αυτές τις πληροφορίες, μπορούν πλέον να τροποποιήσουν τις τραπεζικές συναλλαγές των χρηστών και να υποκλέψουν τα χρήματά τους.
Η Symantec συνεχίζει να παρακολουθεί το δίκτυο Gameover και να ενημερώνει παρόχους υπηρεσιών Διαδικτύου (ISPs) και τους CERTs σε όλο τον κόσμο. Αυτά τα δεδομένα, χρησιμοποιούνται για να βοηθήσουν στον εντοπισμό και στην ενημέρωση των θυμάτων σε μία συνεχή προσπάθεια απομάκρυνσης του botnet.



Cryptolocker: Ένα αποτελεσματικό εργαλείο εκβιασμού

Το Cryptolocker είναι μία από τις πολυάριθμες απειλές ransomware, οι οποίες επιχειρούν να αποσπάσουν χρήματα από τα θύματα τους, κλειδώνοντας τον υπολογιστή τους ή κρυπτογραφώντας τα αρχεία τους. Παράλληλα, είναι μία από τις πιο επικίνδυνες παραλλαγές του ransomware, δεδομένου ότι χρησιμοποιεί ισχυρή κρυπτογράφηση που δεν μπορεί να παραβιαστεί.

Η απειλή εμφανίστηκε για πρώτη φορά τον Σεπτέμβριο 2013 και ενώ εξακολουθεί να περιλαμβάνει μόνο ένα μικρό ποσοστό των συνολικών μολύνσεων ransomware, έχει κεντρίσει το δημόσιο ενδιαφέρον επειδή τα θύματα που δεν έχουν κάνει backup τα αρχεία τους, κινδυνεύουν να τα χάσουν αν δεν πληρώσουν τα λύτρα.

Το ransomware, συμπεριλαμβανομένου και του Cryptolocker, αποδείχθηκε ότι είναι εξαιρετικά προσοδοφόρο για τους επιτιθέμενους. Οι έρευνες της Symantec δείχνουν ότι κατά μέσο όρο το 3% των μολυσμένων χρηστών θα πληρώσει τα λύτρα. H Symantec θεωρεί ότι οι διανομείς ransomware έχουν αναμφίβολα κερδίσει δεκάδες εκατομμύρια δολάρια το προηγούμενο έτος.

Τα θύματα συνήθως έχουν προσβληθεί από spam email, τα οποία χρησιμοποιούν τακτικές «social engineering» (κοινωνικής μηχανικής) για να τους δελεάσουν να ανοίξουν το συνημμένο αρχείο zip.

Προστασία

Η Symantec έχει κυκλοφορήσει ένα νέο εργαλείο που απομακρύνει το στοιχείο του Gameover Zeus. Επισκεφθείτε την σελίδα http://www.symantec.com/security_response/writeup.jsp?docid=2014-052915-1402-99, για να κατεβάσετε το εργαλείο που θα σας επιτρέψει να καταργήσετε αυτό το στοιχείο και στη συνέχεια να αφαιρέστε πλήρως το Gameover Zeus.


Περισσότερες πληροφορίες:

http://www.symantec.com/connect/blogs/cracking-new-p2p-variant-zeusbotspyeye

http://en.wikipedia.org/wiki/Man-in-the-browser