La Digital Crimes Unit di Microsoft in collaborazione con il Financial Services - Information Center Sharing and Analysis (FS-ISAC) e NACHA - Associazione per i pagamenti elettronici, così come Kyrus Tech Inc. - hanno eseguito uno un'azione globale coordinata nei confronti di alcune delle peggiori attività cybercriminali che alimentano frodi online e furti di identità. Con questa azione legale e tecnica, un certo numero di botnet più dannose che utilizzano la famiglia di malware Zeus in tutto il mondo sono state interrotte in una inedita operazione proactive cross-industry contro questa organizzazione criminale.
Dopo un mese di indagini, con l'autorizzazione della US District Court per il Distretto Orientale di New York e un sequestro coordinato dei server di comando e controllo a Scranton, Pennsylvania e Lombard, Illinois, alcune delle peggiori botnet Zeus note sono state disattivate da Microsoft e dai suoi partner in tutto il mondo. "Una preziosa testimonianza e l'intelligenza acquisita con l'applicazione verrà utilizzata sia per aiutare i computer delle persone per il soccorso dal controllo di Zeus, così come in un continuo sforzo per indebolire l'organizzazione criminale e contribuire a individuare i responsabili", scrive Richard Domingues Boscovich
Senior Attorney, di Microsoft Digital Crimes Unit
I criminali informatici hanno costruito centinaia di botnet utilizzando varianti di malware Zeus. Per questa azione - nome in codice Operation B71 - Microsoft si è concentrati sulla botnet con Zeus, SpyEye e Ice-IX varianti della famiglia di malware Zeus, noto per i danni al pubblico e che secondo gli esperti sono responsabili di quasi mezzo miliardo di dollari di danni. A causa della complessità unica di questi obiettivi particolari, a differenza delle precedenti operazioni di takedown botnet, l'obiettivo qui non è stata la chiusura definitiva di tutti gli obiettivi colpiti. Piuttosto, l'obiettivo di Microsoft è stato quello di una rottura strategica delle operazioni per mitigare la minaccia al fine di provocare danni a lungo termine per l'organizzazione criminale che si basa su queste botnet per il guadagno illecito.
Come sostenuto nella denuncia, il malware Zeus utilizza una tattica chiamata keylogging, che registra la battitura dei tasti sulla tastiera del computer per monitorare l'attività on-line e accedere ai nomi utente e password, al fine di rubare le identità delle vittime, prelevare denaro dai loro conti bancari ed effettuare acquisti online. I ricercatori Microsoft hanno trovato che una volta che un computer è stato infettato da Zeus, il malware avvia automaticamente il keylogging quando una persona digita il nome di una finanziaria o istituzione di e-commerce, consentendo ai criminali di accedere ai conti online delle persone da quel punto in avanti.
Zeus è particolarmente pericoloso perché è venduto nel sottosuolo criminale come un kit crimeware, che consente ai criminali di creare nuovi server di comando e controllo e creare le proprie botnet Zeus individuali. Questi kit crimeware sono venduti ovunque tra 700 e 15.000 dollari, a seconda della versione e le caratteristiche del kit. Nel complesso, Microsoft ha rilevato più di 13 milioni di infezioni sospette di questo malware a livello mondiale, con più di 3 milioni negli Stati Uniti da soli. Simile ai takedown delle botnet Waledac, Rustock e Kelihos, Microsoft, insieme ai suoi partner, ha presentato la denuncia il 19 marzo 2012 contro John Does 1-39, chiedendo al giudice il permesso di spezzare le strutture di comando e controllo di queste botnet Zeus.
La causa di Microsoft ha sostenuto violazioni effettuate in casi simili da botnet precedenti, tra cui il Lanham Act, al fine di cogliere fisicamente i server da parte dei fornitori di hosting e conservare le prove. Inoltre, poiché Zeus si basa su una rete criminale per sfruttare gli utenti, Microsoft ha anche applicato nel caso una consolidata legge, nota come la Racketeer Influenced and Corrupt Organizations (RICO) come base giuridica per questa operazione. In processi giudiziari penali, la legge RICO è spesso associata a casi contro la criminalità organizzata, lo stesso vale per l'applicazione alla sezione civile della legge per questo caso contro l'organizzazione di persone dietro la famiglia delle botnet Zeus.
Incorporando l'uso della legge RICO, Microsoft è stato in grado di perseguire una causa civile contro tutti gli associati all'operazione Zeus penale consolidata, anche se coloro che sono coinvolti nell'organizzazione non sono necessariamente parte dell'impresa principale. Il 23 marzo, Microsoft, FS-ISAC e NACHA - scortato dalla US Marshals - hanno eseguito con successo un attacco fisico coordinato dei server di comando e controllo in due sedi di hosting per cogliere e conservare dati preziosi e le prove virtuali delle botnet per il caso. Microsoft ha preso i due indirizzi IP dietro la struttura di comando e controllo di Zeus.
Microsoft inoltre sta attualmente controllando 800 domini garantendone il funzionamento, il che aiuta la società di Redmond a identificare i migliaia di computer infettati da Zeus. "Non ci aspettiamo che questa azione abbia spazzato via ogni esercizio di Zeus botnet del mondo. Tuttavia, insieme, abbiamo interrotto in modo proattivo alcune delle botnet più pericolose, e ci aspettiamo che questa iniziativa avrà un forte impatto sulla metropolitana criminale per parecchio tempo. I criminali informatici fanno con questo i soldi e questa azione è stata uno sciopero senza precedenti contro le infrastrutture illeciti su cui si basano. L'operazione contribuirà a ulteriori accertamenti nei confronti dei responsabili della minaccia e ci aiutano a meglio proteggere le vittime", aggiunge Boscovich.
Questo è la quarta operazione di alto profilo takedown nel progetto MARS (Microsoft Active Response for Security) iniziativa - uno sforzo congiunto tra DCU, Microsoft Malware Protection Center (MMPC), supporto Microsoft e il team di Trustworthy Computing per interrompere la botnet e cominciare ad annullare i danni causati da aiutare le vittime riprendere il controllo dei loro computer infetti. "Come con i nostri takedown precedenti, Microsoft userà l'intelligenza acquisita da questa operazione per collaborare con i fornitori di servizi Internet (ISP) e Community Emergency Response Teams (CERT) in tutto il mondo a lavorare per salvare dei computer da Zeus 'popoli di controllo. Questa intelligenza contribuirà a ridurre rapidamente le dimensioni della minaccia che posa ognuna di queste botnet, e rendere Internet più sicuro per i consumatori e le imprese di tutto il mondo", conclude l'esperto.
Ci sono passaggi per persone e imprese che possono essere adottati per proteggersi meglio dal diventare vittime di malware, frodi e furti d'identità. Chiunque utilizza un computer dovrebbe esercitare pratiche di sicurezza, come l'utilizzo di software legittimo e aggiornato, protezione firewall, anti-virus e anti-malware. Gli utenti devono anche prestare attenzione quando si naviga sul Web o fare clic su annunci o allegati di posta elettronica che possono rivelarsi dannosi. Ulteriori informazioni sulla sicurezza online possono essere trovati alla pagina http://www.microsoft.com/it-it/security.)
Per coloro che sono preoccupati e pensano che il proprio computer potrebbe essere infettato, Microsoft offre informazioni gratuite e strumenti per la pulizia di malware all'indirizzo http://www.microsoft.com/security/scanner/it-it/default.aspx che possono aiutare le persone a rimuovere Zeus e altri malware dal proprio computer. In aggiunta ai co-attori, FS-ISAC e NACHA, gli archivi di Microsoft in questo caso sono supportati da Kyrus Tech Inc., che è servito come dichiarante. Altre organizzazioni, tra cui F-Secure, hanno anche fornito informazioni di supporto per il caso. Questo caso e il funzionamento sono in corso, e Microsoft continuerà a fornire aggiornamenti non appena disponibili. Per rimanere aggiornati sugli ultimi sviluppi in materia di lotta contro la cibercriminalità, seguire la Microsoft Digital Unità Crimini su Facebook e Twitter.
Nessun commento:
Posta un commento