FBI (SUA) si National Crime Agency (UK), alaturi de un numar de agentii internationale de aplicare a legii, au intervenit si au oprit cu success doua dintre cele mai periculoase operatiuni de frauda financiara de natura informatica: reteaua de botnet Gameover Zeussi reteaua de ransomware Cryptolocker. Cu sprijinul Symantec si a altor parteneri din sectorul privat, FBI a confiscat un volum impresionat de infrastructura informatica utilizata de cele doua retele de infractiuni cibernetice.

Symantec a dezvoltat si lansat o solutie de securitate impotriva Gameover Zeus, care elimina complet aceasta amenintare de pe dispozitivele infectate.

Reteaua botnet Gameover Zeus este responsabila pentru infectarea a milioane de sisteme de la aparitia sa, in luna septembrie 2011. Atacatorii cibernetici se folosesc de reteaua botnet pentru a intercepta tranzactii financiare efectuate prin Internet banking, cu scopul de a frauda clientii a sute de institutii bancare din intreaga lume. Intr-un update recent al retelei, un driver de actiune low-level a fost introdus pentru a evita eliminarea programului Trojan.

Symantec le ofera utilizatorilor un instrument dedicat pentru eliminarea amenintarii Gameover Zeus, cu toate componentele sale.

Cryptolocker este una dintre cele mai agresive retele de ransomware din lume. Reteaua isi bazeaza operatiunile pe criptarea fisierelor de pe computerele victimelor. Spre deosebire de majoritatea infectarilor cu programe malware, nu a fost descoperita nici o solutie pentru decriptarea datelor informatice afectate de atacatori. Astfel, victimele Cryptolocker au doar doua posibilitati: fie pierd datele personale, fie platesc atacatorilor sume de bani pentru rascumpararea pentru deblocare, scenarii nefavorabile.

 

Gameover Zeus: Programul troian avansat pentru frauda financiara

Gameover Zeus este o varianta imbunatatita a Trojan Zbot, cunoscuta sub pseudonimul Zeus. Acesta foloseste o retea peer-to-peer si un algoritm de generare de domenii web (Domain Generation Algorithm, DGA) pentru a obtine controlul asupra dispozitivelor infectate. In actiunile de blocare a operatiunilor Zeus, anumite noduri din reteaua peer-to-peer au fost dezactivate, alaturi de domeniile generate de algoritmul DGA.

 

 

 

Symantec monitorizeaza activitatile retelei botnet inca de la aparitie. Administratorul de retea (botmaster) mentine cu indemanare o retea stabila de ordinul sutelor de mii de computere infectate in toata lumea.

Top 6 tari afectate de Gameover Zeus 2013 / 2014   SUA: 13% | Italia: 12% | Emiratele Arabe Unite: 8% | Japonia: 7% | Marea Britanie: 7% | India: 5%   Infectarile cu Zeus sunt internationale, acestea dauneaza in principal Statele Unite si Italia.

Imagine 1. Tari afectate cu preponderenta de atacurile Gameover Zeus

Gameover poate fi considerat cea mai avansata varianta de Zeus, iar spre deosebire de variantele Citadel sau IceX Trojan, nu este folosita pentru revanzarea datelor. Reteaua botnet poate fi folosita pentru a facilita fraude financiare de mare amploare, datele personale ale victimelor retelei fiind deturnate. Gruparea infractionala din culisele Gameover Zeus foloseste reteaua botnet pentru a frauda utilizatori in timp real. Gameover Zeus se distribuie prin email, prin mesaje care contin presupuse facturi din partea unei institutii bancare. Odata ce utilizatorul infectat isi viziteaza website-ul bancar de pe un computer infectat, Gameover intercepteaza sesiunea de internet banking folosind tehnica de infiltrare asa-numita persoana-din-interiorul browser-ului (Man-In-The-Browser, MITB). MITB poate ocoli procedurile de autentificare in doi pasi si afiseaza un mesaj de securitate fraudulos, aparent din partea institutiei bancare, pentru a obtine informatii cu privire la datele personale de autentificare si autorizare de tranzactii. Odata ce atacatorii cibernetici obtin detaliile dorite, acestia pot prelua controlul si modifica datele de tranzactionare ale utilizatorilor si le pot fura banii.

Experienta tipica a unui utilizator-victima in decursul unei tranzactii online   Atacator | Victima | Banca   Vizita pe website-ul bancii Cerere de autentificare Interceptarea sesiunii de autentificare Autentificarea atacatorilor si tentativele de tranzactionare Intrebari suplimentare de securitate Alte intrebari pentru deturnarea de informatii Raspunsul la intrebari Raspunsul la intrebari suplimentare de securitate Confirmarea unei tranzactii complete Mesajul „Revino in 24 de ore”   Atacatorii au configurat Gameover Zeus pentru a frauda clientii a sute de institutii financiare din intreaga lume.

Imagine 2. Experienta tipica a unui utilizator deturnat de o tentativa de tranzactie frauduloasa.

 

Avand in vedere modul sofisticat de functionare a programului Trojan, echipa din culisele atacurilor pare a fi bine fundamentata si implicata si probabil a derulat atacuri prin operatiuni financiare cu mult inaintea aparitiei Gameover Zeus. Programul Trojan evolueaza odata cu scurgerea codului-sursa al Zeus pe Internet, in luna mai 2011. A existat o perioada de dezvoltare rapida care include adoptarea unor diagrame alternative de criptare a sesiunilor de autentificare, un algoritm de generare domenii web (DGA) si, in mod special, o cale de comunicatie peer-to-peer. Imbunatatirile aduse decentralizeaza server-ul de Command & Control (C&C), astfel reteaua isi mentine baza de sisteme infectate si devine rezilienta la tentativele de neutralizare.

In anul 2014, Gameover adopta un driver low-level pentru a preveni dezinstalarea programului malware de pe sistemul infectat. Acest driver are caracteristici similare cu o amenintare cibernetica denumita Backdoor Necurs. Este totusi improbabil ca gruparea Gameover Zeus sa fi dezvoltat acest Trojan, fiind posibil ca aceasta sa fi cumparat componenta de la parti terte. Nivelul de complexitate al eliminarii acestei amenintari cibernetice intampina, astfel, un strat suplimentar de rezilienta (consulta link-ul catre instrumentul de eliminare a amenintarii furnizat mai jos).

Dimensiunile retelei botnet Gameover P2P – 2013/ 2014   Diagrama   Dimensiuni monitorizate | Dimensiuni estimate   Administratorul retelei botnet (botmaster) mentine operationala o retea de sute de mii de computer-e infectate pe tot globul

Imagine 3. Dimensiunea retelei de botnet P2P Gameover Zeus

 

Gameover Zeus a evitat cel putin doua tentative de blocare a atacurilor si oprire a retelei botnet, in primavara si toamna anului 2012. Gruparea Gameover Zeus monitorizeaza indeaproape activitatea suspecta pentru a proteja reteaua existenta de computere compromise. Activitatea Gameover Zeus s-a dovedit a fi foarte profitabila, astfel ca gruparea depune eforturi importante pentru a identifica punctele slabe ale retelei si a le reconstrui daca este necesar, protejand astfel reteaua si asigurand potentialele castiguri. Succesul pe termen lung al celui mai recent atac Gameover ramane de aflat.

Symantec monitorizeaza in continuare reteaua Gameover si ofera in mod activ informatii furnizorilor de servicii Internet si echipelor de raspuns in cazuri de urgenta a afectiunilor de computer (Computer Emergency Response Teams, CERT) din intreaga lume. Informatiile obtinute sunt folosite pentru a identifica si notifica utilizatorii care au devenit victime ale retelei, eforturile de curatarea completa a retelei botnet fiind sustinute succesiv.

 

 

Cryptolocker: O unealta eficienta de frauda financiara

Cryptolocker este una dintre cele mai eficiente amenintari cu program ransomware, tehnica utilizata pentru a sustrage sume de bani de la utilizatorii-victime prin blocarea computerului sau criptarea fisierelor proprii de pe sistem. In prezent, Cryptolocker face parte dintre cele mai periculoase variante de program ransomware existente in prezent, deoarece parametrii de criptare sunt dificil de surmontat.

Amenintarea Cryptolocker apare in premiera in luna septembrie 2013. Desi acopera un procent mic din totalitatea infectarilor cu programe malware, atentia publicului este captata din pricina faptului ca victimele care nu au back-up pentru fisierele lor isi pot pierde informatiile daca nu platesc suma ceruta de atacatori.

Programele ransomware, inclusiv Cryptolocker, isi dovedesc profitabilitatea pentru atacatori. Cercetarile Symantec indica faptul ca, in medie, 3% dintre utilizatorii infectati vor plati suma solicitata. Astfel, este probabil ca distribuitorii de programe ransomware au castigat zeci de milioane de dolari numai anul trecut.

Victimele sunt de obicei infectate prin intermediul emailului si mesajelor de tip spam si sunt folosite tactici si inginerii sociale care atrag curiozitatea cititorului, pentru ca apoi sa suscite interesul acestora de a deschide fisierul comprimat .zip, in esenta, o „momeala”.

Subject: Factura (sau document oficial din partea unei institutii bancare)   Mesaj:   Draga XXX,   Vei gasi atasata o copie a facturii emise care figureaza drept neplatita in baza noastra de date. Te rugam sa iei act de aceasta chestiune si recomandam sa ne comunici o data de plata convenabila.   Multumiri,   Credit Control Tel: XXX

Imagine 4. Un exemplu de mesaj spam trimis din partea Cryptolocker

 

Daca utilizatorii vizati de atacatori deschid atasamentul din mail, va fi lansat un fisier executabil deghizat sub aparenta unei facturi sau document similar, in functie de tema de comunicare a mail-ului. Fisierul executabil va descarca automat programul Trojan Zbot, adica Zeus. Odata infectat cu Zeus, un computer poate sa descarce de pe Internet si Trojan Cryptolocker. Cryptolocker contacteaza ulterior un server de Command & Control (C&C), a carui adresa este generata folosind algoritmul de generare domenii (DGA). Odata gasit un server C&C, Cryptolocker va descarca o „cheie” publica folosita pentru a cripta fisierele de pe computerul infectat. Cheia privata, anexata criptarii, necesara pentru decriptarea fisierelor, ramane pe server-ul C&C.

 

Protectie

Symantec ofera spre beneficiul clientilor un nou instrument care inlatura componenta Gameover Zeus prin care este dezactivat programul antivirus. Viziteaza aceasta pagina pentru a descarca instrumentulsi vei elimina cu siguranta aceasta componenta pentru a reusi, ulterior, sa elimini complet infectarea cu Gameover Zeus.

Denumirile de Gameover Zeus descoperite de antivirus:

• Trojan.Zbot
• Trojan.Zbot!gen26
• Trojan.Zbot!gen27
• Trojan.Zbot!gen29
• Trojan.Zbot!gen30
• Trojan.Zbot!gen32
• Trojan.Zbot!gen38
• Trojan.Zbot!gen39
• Trojan.Zbot!gen42
• Trojan.Zbot!gen43
• Trojan.Zbot!gen49
• Trojan.Zbot!gen51
• Trojan.Zbot!gen54
• Trojan.Zbot!gen55
• Trojan.Zbot!gen58
• Trojan.Zbot!gen60
• Trojan.Zbot!gen62
• Trojan.Zbot!gen63
• Trojan.Zbot!gen64
• Trojan.Zbot!gen65
• Trojan.Zbot!gen67
• Trojan.Zbot!gen71
• Trojan.Zbot!gen72
• Trojan.Zbot!gen73

Detectari de componente din aceeasi categorie:

• Downloader
• Hacktool.Rootkit
• Downloader.Dromedan
• Downloader.Upatre
• Downloader.Ponik
• Trojan.Pandex
• Trojan.Cryptolocker

Semnaturi ale modulelor de prevenire a intruziunilor

• System Infected: Zbot Activity
• System Infected: ZBOT Request
• System Infected: Zbot Trojan Request 2
• System Infected: Zbot Trojan Request 3
• System Infected: Trojan.Zbot Activity 3
• System Infected: Trojan.Zbot Activity 6
• System Infected: Trojan.Zbot Download Request
• System Infected: Trojan.Zbot Download Request 2
• System Infected: Trojan.Zbot Download Request 3
• System Infected: Trojan.Zbot P2P Communication 3
• System Infected: Trojan.Zbot P2P Communication 4
• System Infected: Trojan.Zeus P2P Communication
• System Infected: Trojan.Zeus P2P Communication 2
• System Infected: Trojan Zbot Post Install
• System Infected: Trojan Zeus Activity
• System Infected: Trojan.Cryptolocker

Clientii Symantec care folosesc serviciul Symantec Cloud sunt, de asemenea, protejati impotriva acestor amenintari.

Bucuresti, 3 iulie 2014 – Symantec