Sofisticação por Trás da Botnet GameOver ZeuS
Gameover Zeus, também conhecido como "Zeus Peer- to-Peer", é um tipo extremamente sofisticado de malware que foi projetado para roubar dinheiro de clientes e outras credenciais dos computadores os quais infecta. Em seguida, ele usa essas credenciais para iniciar transferências bancárias e redirecionar para contas controladas por criminosos cibernéticos. É a mais recente versão de uma família de malware que já apareceu em 2007; assim, pesquisadores de segurança estimam que entre 500 mil e um milhão de computadores em todo o mundo estejam infectados. Os prejuízos causados por malware são estimados em cerca de 75 milhões de euros.
Distribuição de Ransomware
A rede Gameover ZeuS de computadores infectados, também distribui o temido ransomware conhecido como CryptoLocker. Em outubro do ano passado, a EC3 enviou um alerta sobre as ações do CryptoLocker, que criptografa todos os arquivos do computador da vítima, conseguindo extorquir uma quantia de US$ 750 ou mais para receber a senha necessária para abrir os arquivos de seus alvos. Em face disso, pesquisadores de segurança estimam que a partir de abril de 2014, o CryptoLocker já havia infectado mais de 234.000 computadores.
Além disso, o FBI estima que foram feitas mais de US$ 27 milhões em pagamentos de resgate apenas nos primeiros dois meses de 2014. Além de autoridades norte-americanas, os investigadores de países como Canadá, França, Itália, Japão, Luxemburgo, Alemanha, Nova Zelândia, Holanda, Ucrânia e Reino Unido participaram dessa operação.
Empresas Renomadas em Trabalho de Colaboração
Vale ressaltar que o apoio chave para que tudo desse certo foi oferecido por parceiros do setor, como Dell SecureWorks, Microsoft Corporation, McAfee, Symantec e outras empresas, para evitar que o malware pudesse re-instalar-se depois de ter sido removido a partir dos computadores das vítimas. No dia em que a ação entrou em prática, a EC3 ativou seu centro de operações em que os representantes dos vários países trabalharam equiparados com os agentes da Europol, no sentido de alcançar um resultado bem sucedido.
O chefe do Centro Europeu de Cibercrime (EC3), Troels Oerting, disse: "Esta grande e muito bem sucedida operação, foi um teste importante com referência à capacidade dos estados-membros da UE a agir rápido, de forma decisiva e coordenada contra uma rede criminosa muito perigosa, que foi roubar dinheiro e informações de vítimas na UE e em todo o mundo. Ao longo de muitos dias e noites de trabalhos das polícias cibernéticas de vários países da UE, a EC3 maximizou o impacto desta investigação conjunta. Oerting disse ainda, que as coisas tornam-se bem melhores depois da realização de cada operação deste tipo.
Considerações Executivas
Na sequência de fatos relacionados a operação, Cecília Malmstroem, EU Home Affairs Commisssioner, expressou sua satisfação com o sucesso da operação. Ela disse que nenhum usuário de Internet deve ter medo de se tornar vítima de extorsão ou de fraude bancária Esta operação conjunta demonstra, claramente, o quanto é importante cooperar através das fronteiras para combater o cibercrime - porque nenhum país é uma ilha pelo fato de ter o Centro Europeu do Cibercrime atrás dos criminosos que atuam na grande rede. Dessa forma, todos estão trabalhando, contínua e fortemente, para tornar a Internet mais segura. Mas com as crescentes ameaças à frente, é mais importante do que nunca intensificar esta cooperação".
Sobre GameOver ZeuS
GameOver Zeus disseminava suas atividades através de drive-by downloads, onde os cybercriminosos criam um site que baixa malware para qualquer computador desprotegido que visitar a tal página. Ele também é distribuído através do botnet Cutwail via spam phishing, onde os cibercriminosos enviam e-mails falsificados que parecem ser as comunicações legítimas de empresas e organizações de renome. Esses e-mails enganosos contem uma linguagem bastante realista, que poderia, facilmente, seduzir o destinatário a clicar em um link ou anexo, que finalmente implanta o malware GameOver ZeuS no computador da vítima.
Dessa maneira, o botnet inicia, automaticamente, o processo de infecções de de computadores, concedendo aos cibercriminosos o acesso a senhas e informações de contas particulares. O computador infectado envia dados roubados para o servidor de botnet C & C, e pode armazena-lo para uso posterior pelo cibercriminoso.
GameOver Zeus tinha muitas propriedades semelhantes as propriedades do trojan bancário ZeuS, como key loggers para furtar dados bancários, mas também vinha embalado com funções maliciosas que lhe permitiam lançar ataques (DDoS) distribuídos de negação de serviço contra instituições financeiras. Além disso tudo, suas variantes permitiram que GameOver Zeus pudesse contornar os perímetros de segurança, incluindo firewalls, webfilters e sistemas de detecção de intrusão de rede, disfarçando-se como um arquivo .EXE criptografada. GameOver Zeus também tinha capacidade de implantação de um processo conhecido como "inject web", que fornecia a capacidade de modificar o código HTML de um site de destino, e injetava form grabbers adicionais para enganar a vítima, a fim de introduzir informações confidenciais além das credenciais bancárias normais.
ICE IX, Spy Eye e Citadel
Para além de visar instituições financeiras, GameOver ZeuS enviava inject Web para lojas de departamento, sites de redes sociais e serviços de webmail. Mais recentemente, uma variante dele teve como alvo pessoas que procuravam emprego e recrutadores; ele tentou roubar credenciais de log-in para sites populares de busca de emprego. Ao contrário de algumas das versões anteriores do ZeuS, como o ICE IX, Spy Eye e Citadel, GameOver ZeuS não tem sido comercializado e colocados à venda no domínio público.
FBI e Lideranças do Setor Privado
A ação legal liderada pelo FBI e a ação técnica liderada pelo setor privado contra a botnet GameOver Zeus, tornou-se uma parte da dissolução dos servidores de comando e controle (C & C), ligados aos domínios gerados pelo malware e registadas pelos ciber-criminosos. Nesta operação, de codinome B157, o FBI apreendeu todos os domínios registrados. Nesse caso, a Microsoft não apresentou uma ação civil, ao contrário de algumas de suas ações anteriores. Diferentemente da maioria dos servidores de C & C centralizados, o botnet GameOver Zeus usa a tecnologia peer-to-peer (P2P), tornando o seu centro de C & C descentralizado, muito mais evasivo e mais resistente do que os seus antecessores.
Microsoft e Análise na Rede Peer-to-Peer
O papel da Microsoft nessa ação técnica foi realizar análise na rede P2P, e desenvolver uma solução de limpeza. Além disso, através de uma alimentação adicional de Shadow Server, houve a capacidade de aumentar a visibilidade em relação ao número de endereços IP impactados, que alimentam Microsoft's Cyber-Threat Intelligence Program (C-TIP), e trabalham em estreita colaboração com a comunidade global de respostas à emergências (CERT) e prestadores de serviços de Internet (ISPs).
Tudo isso é feito com o intuito de ajudar os proprietários de computadores comprometidos a recuperar o controle de seus sistemas. Com base nestas ações, prevê-se que o modelo de negócios dos cibercriminosos serão interrompidos, e eles serão forçados a reconstruir sua infra-estrutura cybercriminosa. Mais importante ainda, as vítimas de GameOver Zeus tem sido e continuarão a ser notificadas e seus computadores infectados passarão por um processo de limpeza, para evitar danos futuros.
Saiba Mais:
[1] Net Security http://www.net-security.org/malware_news.php?id=2777