Wspólna akcja FBI, brytyjskiej National Crime Agency oraz szeregu międzynarodowych organów ścigania poważnie zakłóciła funkcjonowanie dwóch najgroźniejszych operacji cyberprzestępczych: botnetu Gameover Zeus i sieci Cryptolocker.
Współpracując z wieloma partnerami z sektora prywatnego, włączając w to firmę Symantec, FBI przejęło dużą część infrastruktury wykorzystywanej przez oba zagrożenia. W tle operacji, Symantec wydał nowe narzędzie, dzięki któremu ofiary mogą zupełnie pozbyć się infekcji złośliwym oprogramowaniem Gameover Zeus.
Gameover Zeus, od czasu jego pojawienia się we wrześniu 2011, odpowiada za miliony infekcji na całym świecie. Atakujący używają go do przechwytywania transakcji podczas sesji bankowych online, okradając w ten sposób klientów setek instytucji finansowych na całym świecie. Niedawna aktualizacja wprowadziła niskopoziomowy komponent sterownika, udaremniający usunięcie trojana. Symantec dostarczył nowe narzędzie służące do jego usunięcia wraz z dodatkowymi składnikami Zeusa.
Tymczasem Cryptolocker stanowi jedną z najnowszych i najbardziej groźnych form oprogramowania wyłudzającego okup od użytkowników (ransomware). Jego działanie polega na szyfrowaniu plików na dysku ofiary. W przeciwieństwie do większości infekcji złośliwym oprogramowaniem, nie ma skutecznego sposobu naprawy, pozwalającego odszyfrować dotknięte dane. Pozostawia to ofiarę z niefortunnym wyborem pomiędzy utratą danych albo zapłatą okupu napastnikowi.
Gameover Zeus: Zaawansowany koń trojański służący oszustwom finansowym
Gameover Zeus to wariant trojana Zbot, często nazywanego po prostu „Zeus”, wykorzystujący sieć peer-to-peer i algorytm generowania domeny (DGA) do połączeń z centrum kontroli. W celu zakłócenia działania Zeusa, wyłączono kluczowe węzły sieci p2p wraz z domenami wygenerowanymi przez DGA.
Symantec monitorował botnet od początku jego pojawienia się. Zarządzający siecią botmaster utrzymywał stosunkowo stałą liczbę setek tysięcy zainfekowanych komputerów na całym świecie. Gameover można uznać za najbardziej zaawansowany wariant Zeusa i w przeciwieństwie do innych jego odmian, jak trojany Citadel i IceX, nie jest dostępny na sprzedaż. Botnet może być wykorzystany do ułatwienia oszustw finansowych na dużą skalę dzięki przechwytywaniu tysięcy sesji bankowości online. Grupa stojąca za oprogramowaniem Gameover Zeus używa go do przeprowadzania tego rodzaju operacji w czasie rzeczywistym.
Gameover zazwyczaj rozpowszechniany jest za pośrednictwem poczty elektronicznej, gdzie pojawia się jako faktura. Kiedy użytkownik zainfekowanego komputera odwiedza stronę swojego banku, Gameover przechwytuje sesję online za pomocą techniki powszechnie znanej jako MITB (man-in-the-browser). Malware potrafi ominąć dwustopniowe uwierzytelnianie i wyświetlić użytkownikowi fałszywe komunikaty bezpieczeństwa w celu uzyskania informacji umożliwiających zatwierdzenie transakcji. Kiedy tylko atakujący zdobędą te dane, mogą zmodyfikować transakcje wykonywane przez użytkownika i ukraść jego pieniądze.
Opierając się na stopniu złożoności trojana, wydaje się, że zespół stojący za atakami jest doskonale przygotowany i prawdopodobnie brał udział w działaniach motywowanych finansowo jeszcze przed pojawianiem się oprogramowania Gameover. Trojan ten wyewoluował z kodu źródłowego Zeusa, który wyciekł w maju 2011 roku. Nastąpił wówczas okres jego gwałtownego rozwoju, włączając w to zaadoptowanie alternatywnego systemu szyfrowania, wprowadzenie DGA i co najważniejsze - komunikacji peer-to-peer. Te udoskonalenia zdecentralizowały C&C botnetu (system zarządzania), pozwalając mu na utrzymywanie wysokiego poziomu infekcji i dużej odporności na wyłączenie.
W 2014 roku Gameover zastosował niskopoziomowy sterownik zapobiegający jego łatwemu odinstalowaniu. Sterownik ten dzieli cechy innego, dobrze znanego zagrożenia, o nazwie Backdoor.Necurs. Jest mało prawdopodobne, że opracował go gang odpowiedzialny za Gameover Zeus, przypuszczalnie został on zakupiony lub pozyskany w inny sposób od strony trzeciej. Ta dodatkowa warstwa ochrony podnosi poziom złożoności przy usuwaniu zagrożenia.
Gameover Zeus przetrwał co najmniej dwie wcześniejsze próby zakłócenia pracy botnetu, wiosną i jesienią 2012 roku. Grupa za nim stojąca ściśle monitoruje podejrzaną aktywność zabezpieczając istniejącą sieć zainfekowanych komputerów. Jest to wysoce dochodowe przedsięwzięcie, warte ochrony, a grupa znana jest z wyszukiwania słabych punktów sieci i jej przebudowywania w razie potrzeby. Długoterminowe powodzenie ostatnich operacji zakłócających wydaje się jednak zauważalne.
Symantec kontynuuje śledzenie sieci Gameover i aktywnie przekazuje wyniki obserwacji dostawcom Internetu (ISP) oraz grupom CERT (Computer Emergency Response Team) na całym świecie. Dane te są wykorzystywane do identyfikacji i powiadamiania ofiar przy okazji podejmowanych wysiłków mających na celu zwalczenie botnetu.
Cryptolocker: Skuteczne narzędzie wymuszenia
Cryptolocker jest jednym z wielu zagrożeń typu ransomware, które próbują wymuszać opłaty od ofiar przez blokowanie ich komputerów albo szyfrowanie plików. Cryptolocker jest jedną z najniebezpieczniejszych odmian ransomware'u obecnych w obiegu, ponieważ wykorzystuje silne szyfrowanie, które nie może zostać złamane.
Zagrożenie pojawiło się po raz pierwszy we wrześniu 2013 roku i chociaż wciąż stanowi niewielki procent ogółu infekcji oprogramowaniem ransomware, zyskało uwagę opinii publicznej, gdyż ofiary nie posiadające kopii zapasowych plików nie były w stanie ich odzyskać, jeśli nie zapłaciły okupu.
Programy ransomware, takie jak Cryptolocker, okazały się niezwykle lukratywne dla atakujących. Badania Symanteca wskazują, że średnio 3 procent zainfekowanych użytkowników płaci okup. Szacuje się, że dystrybutorzy tego typu zagrożeń uzyskali dziesiątki milionów dolarów tylko w ostatnim roku.
Komputery zarażane są najczęściej przez spam pocztowy, przy wykorzystaniu metod socjotechnicznych skłaniających ofiarę do otwarcia załączonego pliku zip. Otwierając załącznik, użytkownik uruchamia plik wykonywalny spreparowany tak, by wyglądał na rachunek lub inny podobny dokument, zależnie od tematu wiadomości. Zadaniem pliku wykonywalnego jest pobranie oprogramowania Trojan.Zbot, znanego też jako Zeus. Po zainfekowaniu Zeusem, zarażony komputer pobiera także program Trojan.Cryptolocker, który nawiązuje połączenie z serwerem kontroli (C&C), generując jego adres poprzez wbudowany algorytm DGA. Gdy serwer C&C zostanie odnaleziony, Cryptolocker pobiera klucz publiczny używany do zaszyfrowania plików na zaatakowanym komputerze. Odpowiedni klucz prywatny, wymagany do odszyfrowania plików na dysku, pozostaje na serwerze C&C.
Ochrona
Użytkownicy oprogramowania Norton/Symantec są chronieni przez wariantami zagrożenia Gameover Zeus oraz Cryptolocker. Dla pozostałych osób Symantec udostępnił nowe narzędzie usuwające składnik zagrożenia Gameover Zeus odpowiedzialny za omijanie mechanizmów obronnych i wyłączanie oprogramowania antywirusowego. Narzędzie, które usunie ten składnik, a następnie w pełni oczyści komputer z infekcji Gameover Zeus, można pobrać z tej strony.
Źródło: Symantec