Nemzetközi akció a Gameover Zeus hálózat gyengítésére

Az FBI, a brit National Crime Agency és számos más nemzetközi bűnüldöző szervezet jelentős csapást mért a világ legveszélyesebb pénzügyi átverései közül kettőre: a Gameover Zeus botnetre, illetve a Cryptolocker zsaroló hálózatra. Az FBI a Symantec mellett számos magánszektorból érkező partnerrel együttműködve komoly méretű infrastruktúrát foglalt le, amelyet az átverésekhez használtak a bűnözők. A művelethez kapcsolódóan a Symantec egy új megoldást is kiadott, amelyet az áldozatok a Gameover Zeus okozta fertőzések teljes eltávolításához használhatnak.

A Gameover Zeus, 2011. szeptemberi megjelenése óta milliókat fertőzött meg világszerte. A támadók az online banki tranzakciókat zavarják meg, megtévesztve az ügyfeleket és a pénzügyi intézményeket a világ minden táján. A kártevő legfrissebb verziójában low-level szintű illesztőprogram komponenst vezettek be, amely megakadályozza a trójai program eltávolítását. A Symantec egy új megoldást mutatott be, amely eltávolítja a programot, és a hozzá tartozó további összetevőket.

A Cryptolocker az egyik legújabb és a legnagyobb fenyegetést jelentő zsaroló program (ransomware), amely az áldozatok fájljainak titkosításával működik. A legtöbb kártevő okozta fertőzéssel ellentétben, a Cryptolocker esetében még nem találtak megoldást a támadók által titkosított állományok feloldására, ezért az áldozatoknak választaniuk kell adataik elvesztése, vagy a zsarolóknak való fizetés között.

Gameover Zeus: A fejlett pénzügyi trójai
A Gameover Zeus a Trojan.Zbot egyik variánsa, általában simán csak „Zeus” néven ismert kártevő, amely peer-to-peer hálózatot és domain generációs algoritmust (DGA) használ az ellenőrzéshez és az irányításhoz. A Gameover Zeus megállításához a peer hálózat legfontosabb csomópontjait állították le, a DGA által generált domainekkel együtt.

A Symantec már az első megjelenésétől kezdve figyelemmel kíséri a botnetet. A botmaster a fertőzött számítógépek százezreiből álló, viszonylag stabil hálózatot kezelt.

 
A Gameover Zeus által leginkább fertőzött országok

A Gameover a Zeus legfejlettebb variánsa, és más verziókkal szemben – mint a Citadel és az IceX trójai – nem került viszonteladásra. A botnet nagyban megkönnyíti a több ezer áldozat banki műveleteinek eltérítésével elkövetett pénzügyi visszaéléseket. A Gameover Zeus mögött álló csoport a csalások valós időben történő elkövetésére használta a hálózatot. Ezek a csalások általában olyan e-maileken keresztül történnek, amelyek eredetinek tűnő számlát tartalmaznak, és a csalók telefonon is jelentkeznek, mintha sürgős lenne a befizetés. Ahogy a felhasználó meglátogatja bankjának weboldalát egy fertőzött számítógéppel, a Gameover az úgynevezett man-in-the-browser (MITB) technikával avatkozik be a banki műveletekbe, megkerülve a kettős azonosítást, és hamis biztonsági üzeneteket mutatva a felhasználónak, hogy engedélyt szerezzen a tranzakció végrehajtására. Ahogy a támadó megkapta ezekeket az információkat, módosítja a felhasználó banki tranzakcióját és ellopja a pénzét.

Tipikus felhasználói élmény a hamis tranzakció közben

A Symantec továbbra is megfigyelés alatt tartja a Gameover hálózatot, és az adatokat továbbítja az internetszolgáltatók és a számítógépes vészhelyzeteket elhárító csoportok (Computer Emergency Response Team - CERT) felé a világ minden részén. Ezek az adatok egy botnettel szembeni tisztítási folyamat keretében segítenek azonosítani és figyelmeztetni az áldozatokat.

Cryptolocker: Egy hatásos zsaroló eszköz
A Cryptolocker a nagyszámú zsaroló vírusok egyike, amelyek az áldozatok számítógépein található fájlok titkosításával próbálnak pénzt kicsikarni a felhasználókból. A Cryptolocker az egyik legveszélyesebb működő ransomware, amely mindeddig feltörhetetlen titkosítást használ.

A fenyegetés 2013 szeptemberében tűnt fel, és annak ellenére, hogy csak kis százalékát teszi ki a zsaroló vírusoknak, nagy figyelmet kapott, mivel az áldozatok, akik nem fizetnek, és nincs megfelelő biztonsági mentésük, végleg elveszthetik adataikat.

A zsaroló vírusok, így a Cryptolocker is rendkívül jól jövedelmezőnek bizonyultak a támadók számára. A Symantec kutatása szerint átlagosan az áldozatok 3 százaléka fizet a zsarolóknak, amely több tízmillió dolláros hasznot hozott a zsaroló vírusok terjesztőinek az elmúlt évben.

Az áldozatok gépei gyakran fertőződnek meg kéretlen leveleken keresztül, amelyek pszichológiai manipulációt (social engineering) használva próbálják rávenni a felhasználókat a csatolt ZIP állomány megnyitására.

Példa a Cryptolocker becsapós levélre

Védelem
A Symantec kiadott egy új eszközt, amely eltávolítja az antivírus szoftverek működését megkerülő és megakadályozó összetevőket. A Gameover Zeus okozta fertőzéseket teljesen eltávolító eszköz letölthető a Symantec weboldaláról.