Si è conclusa l'operazione "Rubbly" che ha permesso di smantellare una delle più grandi "botnet" al mondo, ovvero una rete di computer "zombie" controllata da un amministratore, il "botmaster" e utilizzata dai cyber criminali per effettuare attacchi informatici di varia natura in danno di 3,2 milioni di computer in tutto il mondo. L'operazione internazionale che ha messo takedown i server di comando e controllo della botnet "Ramnit", è il frutto di una stretta collaborazione tra la Polizia di Stato, l'European Cyber Crime Center (EC3) di Europol e le unità specializzate nel cyber crime di Germania, Paesi Bassi e Regno Unito, insieme ai partner dell'industria privata.
Gli esperti della Polizia Postale e delle Comunicazioni hanno potuto verificare che, una volta acquisito il pieno controllo da remoto dei computer infettati dal virus malevolo (malware), i cyber criminali sottraevano informazioni relative ad account bancari, password di accesso alla posta elettronica nonché credenziali dei più noti social network. Durante le attività sono stati "spenti" i server di Comando e Controllo che venivano utilizzati come parte fondamentale del sistema di comunicazione della botnet ed allo stesso tempo Microsoft ha effettuato il sinkhole, prendendo quindi il controllo del traffico diretto ai C&C, di circa 300 nomi di dominio con estensione ".com".
Il malware associato alla botnet - spiega una nota della Polizia di Stato - è noto con il nome "Ramnit" e colpisce computer con sistema operativo Microsoft Windows, riuscendo tra le tante cose a disabilitare i sistemi di protezione antivirus. Inoltre, sfrutta un meccanismo di generazione automatico di nomi di dominio (DGA) che successivamente vengono registrati ed utilizzati come server di comando e controllo (C&C) che è codificato all'interno del malware, rendendo così molto difficoltosa l'individuazione degli stessi C&C. Ramnit fornisce agli attaccanti più modi per frodare una vittima, una volta che il suo computer è compromesso. E' in grado di monitorare la sua sessione di navigazione web e rubare le credenziali bancarie.
 |
| Infezione Ramnit per regione (credit: Symantec) |
Si possono rubare i cookie di siti Web che consentono agli aggressori di impersonare la vittima, prendere i file dal disco fisso della vittima, e concedere agli aggressori l'accesso remoto al computer, permettendo loro di trapelare informazioni rubate o scaricare altro malware. Ramnit è stato scoperto per la prima volta nel 2010 ed era nato come un worm, capace di diffondersi attraverso aggresive tattiche di auto-propagazione. Una volta compromesso un computer vengono cercati tutti i file exe, dll, htm, e html sul disco rigido locale e le unità rimovibili e tenta di infettarli con copie di se stesso. Nel corso del tempo il malware si è evoluto appena i suoi controllori hanno spostato la loro attenzione alla costruzione della botnet per sfruttarla.
La versione più recente di Ramnit (rilevata da Symantec come W32.Ramnit.B) ha abbandonato la routine di infezione file a favore di una serie di metodi di infezione alternativi. Le sue capacità di criminalità informatica sono state aggiornate con l'avvento di un considerevole numero di diversi moduli che vengono presi in prestito da Trojan Zeus (Trojan.Zbot), il cui codice sorgente è trapelato nel maggio 2011. Ramnit - spiega Symantec in un post sul blog - ha colpito vittime in tutto il mondo e le infezioni sono state trovate in molti paesi. Prove recuperate da un server di comando e controllo utilizzato per coordinare l'evoluzione del worm Ramnit ha confermato che il malware ha rubato 45.000 password di Facebook e indirizzi e-mail associati.
Il Microsoft Malware Protection Center (MMPC) ha seguito da vicino Ramnit dalla sua scoperta nel mese di aprile del 2010. La minaccia Ramnit - si legge in un post sul blog - manomette software antivirus e disabilita Windows Update per impedire ai computer di ottenere aggiornamenti critici di sicurezza attraverso Windows Update e il software antivirus. C'è una funzione significativa Anti-AV che fa parte dell'installatore Ramnit. Quando viene installato Ramnit, vengono disabilitati i seguenti componenti di Windows: Windows Firewall, Windows Update, Windows Defender e Controllo account utente di Windows. Il modulo VNC consente al controller botnet Ramnit di accedere e controllare direttamente il computer dell'utente tramite una connessione di Virtual Network Computing (VNC).
Il modulo di scansione unità consente a Ramnit di raccogliere le informazioni sulle credenziali, oltre alle informazioni raccolte dal modulo Hook-Spy. Con il raggiungimento di questo, questo modulo esegue la scansione del computer alla ricerca di file interessanti che contengono specifiche parole chiave, tipicamente associati alle credenziali bancarie. I vettori di infezione con cui la botnet si è diffusa, sono costituiti da link contenuti nelle e-mail di spam o siti web il cui contenuto è stato compromesso con l'inserimento di "exploit kit" che sono in grado di scaricare ed eseguire il codice malevolo sulla macchina dell`ignaro visitatore. Per questo motivo all'operazione hanno preso parte stakeholder dell'industria privata specializzati nella sicurezza IT (Microsoft, Symantec e AnubisNetworks) sulla scorta del già consolidato modello operativo che si fonda sul principio della partnership pubblico-privato.
"La Takedown della botnet dannoso Ramnit illustra una grande vittoria per la collaborazione del settore pubblico e privato contro la criminalità informatica", ha dichiarato Francisco Fonseca, CEO e co-fondatore di AnubisNetworks. Questa operazione ha sfruttato Cyberfeed di AnubisNetworks per fornire visibilità della dimensione della botnet Ramnit e dispersione geografica, analisi malware per identificare i protocolli di comunicazione e la mappatura delle infrastrutture C2, monitoraggio dell'infrastruttura C2 e raccolta, aggregazione e analisi dei dati della botnet Ramnit. "Siamo lieti di vedere Cyberfeed utilizzata come risorsa data-driven integrante in questa operazione, e siamo orgogliosi di partecipare a questo lavoro significativo. Fornendo i dati in tempo reale sugli attacchi informatici, AnubisNetworks possono continuare a collaborare con EC3 per ridurre i rischi futuri che si presentano", ha aggiunto Fonseca.
Il Microsoft Malware Protection Center (MMPC) ha seguito da vicino Ramnit dalla sua scoperta nel mese di aprile del 2010. La minaccia Ramnit - si legge in un post sul blog - manomette software antivirus e disabilita Windows Update per impedire ai computer di ottenere aggiornamenti critici di sicurezza attraverso Windows Update e il software antivirus. C'è una funzione significativa Anti-AV che fa parte dell'installatore Ramnit. Quando viene installato Ramnit, vengono disabilitati i seguenti componenti di Windows: Windows Firewall, Windows Update, Windows Defender e Controllo account utente di Windows. Il modulo VNC consente al controller botnet Ramnit di accedere e controllare direttamente il computer dell'utente tramite una connessione di Virtual Network Computing (VNC).
Il modulo di scansione unità consente a Ramnit di raccogliere le informazioni sulle credenziali, oltre alle informazioni raccolte dal modulo Hook-Spy. Con il raggiungimento di questo, questo modulo esegue la scansione del computer alla ricerca di file interessanti che contengono specifiche parole chiave, tipicamente associati alle credenziali bancarie. I vettori di infezione con cui la botnet si è diffusa, sono costituiti da link contenuti nelle e-mail di spam o siti web il cui contenuto è stato compromesso con l'inserimento di "exploit kit" che sono in grado di scaricare ed eseguire il codice malevolo sulla macchina dell`ignaro visitatore. Per questo motivo all'operazione hanno preso parte stakeholder dell'industria privata specializzati nella sicurezza IT (Microsoft, Symantec e AnubisNetworks) sulla scorta del già consolidato modello operativo che si fonda sul principio della partnership pubblico-privato.
 |
| Infezione Ramnit degli ultimi 6 mesi (crediti: Microsoft) |
"La Takedown della botnet dannoso Ramnit illustra una grande vittoria per la collaborazione del settore pubblico e privato contro la criminalità informatica", ha dichiarato Francisco Fonseca, CEO e co-fondatore di AnubisNetworks. Questa operazione ha sfruttato Cyberfeed di AnubisNetworks per fornire visibilità della dimensione della botnet Ramnit e dispersione geografica, analisi malware per identificare i protocolli di comunicazione e la mappatura delle infrastrutture C2, monitoraggio dell'infrastruttura C2 e raccolta, aggregazione e analisi dei dati della botnet Ramnit. "Siamo lieti di vedere Cyberfeed utilizzata come risorsa data-driven integrante in questa operazione, e siamo orgogliosi di partecipare a questo lavoro significativo. Fornendo i dati in tempo reale sugli attacchi informatici, AnubisNetworks possono continuare a collaborare con EC3 per ridurre i rischi futuri che si presentano", ha aggiunto Fonseca.
"Questa operazione di successo dimostra l'importanza dell'applicazione del diritto internazionale in collaborazione con l'industria privata nella lotta contro la minaccia globale del crimine informatico", ha detto Wil van Gemert, vice direttore delle operazioni per Europol. "Continueremo i nostri sforzi per smontare le botnet e distruggere le infrastrutture di base utilizzate dai criminali per condurre una serie di crimini informatici. Insieme con gli Stati membri e partner nel mondo UE, il nostro obiettivo è quello di proteggere le persone in tutto il mondo contro l'attività criminale", ha aggiunto Gemert. Sul territorio italiano, il CNAIPIC della Polizia Postale ed il Compartimento Polizia Postale di Milano hanno sequestrato un server di comando e controllo localizzato nell'area milanese, che verrà messo a disposizione dell'EC3 di Europol per il prosieguo dell'attività investigativa.
"Il CNAIPIC - dichiara Antonio Apruzzese, direttore del servizio Polizia Postale e delle Comunicazioni - interviene in favore della sicurezza delle Infrastrutture (istituzionali ed aziendali) connotate sempre più da una criticità intersettoriale per via dei vincoli di interconnessione ed interdipendenza esistenti tra i differenti settori e su una tipologia di minaccia che ha un'origine transnazionale e che potrebbe essere sfruttata anche per scopi di cyber-spionaggio/cyber-terrorismo". "L'operazione - aggiunge Apruzzese - è l`ulteriore risultato della proficua collaborazione tra Forze di Polizia europee e le partnership pubblico privato". Microsoft e Symantec, in particolare, hanno rilasciato un tool per pulire e ripristinare i computer infetti. indirizzi internet cyberstreetwise.com e getsafeonline.org.
Nessun commento:
Posta un commento