Microsoft, fbi об'єднали сили; каліка півмільярда ботанет цитаделі

Радуйся! Впав ботнет Цитаделі! Комп'ютери, яких він колись поневолив, є безкоштовними, і світ буде налаштований правильно. Ну, не зовсім, але Microsoft вчора оголосила, що вони співпрацюють з ФБР та іншими організаціями, щоб забрати 1462 відомих, незалежних Citadel ботнетів в автономному режимі.

Дія під керівництвом Microsoft вважається головним успіхом. У випуску ФБР бюро написало, що вони брали участь "в окремих, але узгоджених операціях" за участю Microsoft та інших компаній. "ФБР надало інформацію іноземним правоохоронним колегам, щоб вони також могли вжити добровільних дій щодо інфраструктури ботнету, розташованої поза межами США", - написали в бюро. "ФБР також отримало та вручило санкціоновані судом ордери на обшук, пов'язані з ботнетами".

Takedown

Microsoft розпочала розслідування цитаделі в 2012 році і швидко виявила масштабний масштаб незаконної операції. У прес-релізі вони написали, що Цитадель заразила понад п’ять мільйонів комп’ютерів у 90 країнах, включаючи США, Європу, Китай, Індію та Австралію. Microsoft вважає, що зловмисне програмне забезпечення відповідало за крадіжку півмільярда доларів як у приватних осіб, так і у компаній.

Перший крок із зняття серверів розпочався в окружному суді США для Західного округу Північної Кароліни, який уповноважив Microsoft відключити зв'язок між 1462 Citadel ботнетами та зараженими комп'ютерами.

"5 червня Microsoft у супроводі маршалів США вилучила дані та докази з ботнетів", - написала компанія-виробник програмного забезпечення. Сюди входили сервери із сервісів хостингу даних у Нью-Джерсі та Пенсильванії.

Кен Пікерінг, стратег із безпеки CORE Security, сказав, що подібне державно-приватне партнерство - це добре. "У приватному секторі є певні навички та таланти, яких немає в державному секторі", - сказав він.

Пікерінг продовжував говорити, що зайняття Цитаделі також добре для Microsoft. Він пояснив, "це подвиги їх продукту і впливають на їх базу користувачів".

Що таке Цитадель

Якщо ви регулярний читач SecurityWatch, ви, ймовірно, бачили цитадель, про яку згадували раніше. Це, мабуть, найвідоміше за те, що це зловмисне навантаження в дебюлі реклами NBC.com, де законно придбане оголошення містило зловмисний код.

На момент нападу на NBC, Malwarebyets повідомив PC Mag, що Цитадель базується на троянському троянці Zeus. У вчорашньому випуску про вибуття Microsoft спеціально висловила можливості Citadel про те, що він використовує, і як він використовувався для компрометації банківських рахунків жертви.

"Оскільки оператори використовували зловмисне програмне забезпечення для викрадення облікових даних жертв в Інтернеті та здійснювали шахрайські транзакції, лідери галузі фінансових послуг, включаючи FS-ISAC, NACHA, ABA та Agari, підтримували цивільний позов Microsoft, виступаючи декларантами у цій справі", - пише Microsoft.

Цитадель чудова своєю різноманітністю та простотою налаштування, а Symantec пише, що її можна придбати приблизно за 3000 доларів. Ці 1462 активних ботнетів, згаданих Microsoft, є мережами заражених комп'ютерів, незалежних один від одного, але всі вони працюють з тим самим або подібним програмним забезпеченням. Будемо сподіватися, що це надішле повідомлення іншим, що стане клопотом, що Цитадель не може бути інструментом вибору.

Хоча складно визначити точну кількість цитадельських ботнетів у дикій природі, Пікерінг був оптимістичним. "Я думаю, що вони зірвали значну частину їх", - сказав він.

Однак він також зазначив, що багато ботнетів перебувають за межами США. "Велика частина ботнетів працює в Україні та Росії", - сказав Пікерінг.

Що далі

Важливо пам’ятати, що Цитадель не вмерла. "Через масштаби та складність загрози Microsoft та її партнери не сподіваються повністю ліквідувати всі ботнети із використанням Citadel", - написали в Microsoft. "Однак, очікується, що ця дія суттєво порушить роботу ботнетів, зробивши це більш ризиковим і дорожчим для кіберзлочинців, які продовжують вести бізнес, і дозволить жертвам звільнити свої комп'ютери від зловмисного програмного забезпечення".

Незважаючи на те, що зняття серверів, безумовно, покалічило ботнет, збільшення ризику та витрат для організацій та осіб, які працюють на ботах-мережах Citadel, напевно, є більш цінними. Більшість кіберзлочинностей - це численна гра, яка спирається на безліч успіхів - іноді невеликих успіхів - щоб заробити гроші. Коли метод нападу стає занадто складним або занадто дорогим, злочинці змушені впроваджувати інновації або відмовлятися від них.

Найважливішим наступним кроком є ​​видалення зловмисного програмного забезпечення Citadel із заражених комп'ютерів, щоб пізніше не вдалося відновити ботнети Citadel. "Одразу після зриву Microsoft використовуватиме розвідувальні дані про загрози, зібрані під час вилучення, для роботи з постачальниками послуг Інтернету та Командами реагування на надзвичайні ситуації комп'ютерів у всьому світі для швидкого та ефективного сповіщення людей про їх зараження", - написали в Microsoft. Якщо ви вже знаєте, що заражені, інструменти для видалення зловмисного програмного забезпечення, як-от наш вибір редакторів Malwarebytes Anti-Malware 1, 70, будуть хорошим першим кроком для очищення комп'ютера.

Незважаючи на те, що Цитадель насправді не померла, Microsoft, ФБР та всі інші гравці швидко зазначають, що просто спільна робота - це перемога. Сподіваємось, у нас буде більше хороших новин про інші супергрупи, які працюють над тим, щоб знищити поганих хлопців.