A INTERPOL Digital Crime Centre (IDCC) no IGCI, trabalhou com a Microsoft, com a Kaspersky Lab, com a Trend Micro e com a Cyber-Defense do Japão para realizar a análise adicional das ações do botnet Simda resultando em um "heat map" mostrando a propagação das infecções em todo o mundo, e a localização dos servidores de comando e controle.Vale lembrar que Simda foi usado por criminosos virtuais para obter acesso remoto a computadores que permitem o roubo de dados pessoais, incluindo senhas bancárias, bem como instalar e espalhar outros tipos de malware. A família de malware Simda é uma ameaça que foi relatada pela primeira vez pela SophosLabs por volta de 2011, e que agora se transformou em uma extensa família de variantes. Além disso, Simda não foi avante no que diz respeito à prevalência de malware ultimamente, mas tem no entanto, sido um perigo claro e presente. De acordo com o Threat Sophos Security Report de 2014, foi possível observamos que Simda representou 2% do malware distribuído on-line através dos chamados kit exploits.
Kit Exploits
Um kit exploit, ou EK, é um conjunto de componentes maliciosos, que é habitualmente inserido por criminosos em um servidor Web e que automatiza a distribuição de malware. Normalmente, existe uma página em HTML que carrega um arquivo JavaScript malicioso para trabalhar em desacordo com a execução do seu sistema operacional, navegador e plugins. O JavaScript escolhe uma lista de exploits (ataques) na esperança de encontrar uma vulnerabilidade que tenha sido esquecida de corrigir. A partir daí, a exploração de falhas acontece, causando transtornos aos sistemas atacados.
Desativação de Botnets
"Grum", apontada como a terceira maior botnet do mundo, no ano de 2012 foi desativada em uma operação coordenada pelas autoridades holandesas. De acordo com as estimativas feitas pelas autoridades e empresas de segurança envolvidas no processo, a rede de computadores zombie conhecida como "Grum" seria responsável por cerca de 18% de todo o spam enviado a nível mundial naquela época. Além disso, as estimativas apontaram para que aquela rede estivesse a sendo usada para enviar cerca de 18 mil milhões de mensagens de e-mail não solicitado (esse volume de mensagens foi calculado diariamente). A partir daquela data, houve um trabalho intensivo para que se espera que os níveis globais de spam caíssem nos próximos anos. A desativação da botnet teria sido conseguida ao longo em duas etapas: em uma primeira fase, foram desativados os servidores de comando e controle instalados na Holanda e no Panamá. Mas, logo ao final da mesma, foram ativados novos computadores com o mesmo objetivo. Os sete novos servidores responsáveis por controlar a rede foram localizados na Rússia e na Ucrânia, de acordo com relatos prestados pela FireEye, empresa de segurança americana diretamente envolvida na no processo de desativação da botnet "Grum". Os especialistas explicaram ainda que trabalharam em colaboração com parceiros na Rússia e com a SpamHaus, uma organização inglesa que se trabalha na detecção e bloqueio de spam, conseguindo desativar estes novos computadores. Para isso, teriam solicitado aos fornecedores de acesso à Internet para que desligasseem os computadores.
Quando questionados sobre a possibilidade da rede ser reativada, os especialistas afirmaram que, depois do trabalho levado a cabo, "não se tratava apenas de criar um novo servidor, pois seria necessário colocar em prática toda uma nova campanha maliciosa e infectar centenas de milhares de novas máquinas para criar qualquer coisa que fosse semelhante a botnet "Grum".
GameOver Zeus e Desvio de 100 Milhões de Dólares
Em junho do ano passado, foi divulgada uma nega operação internacional que conseguiu desativar o malware Gameover Zeus. Para que isso fosse possível, o FBI trabalhou em conjunto com a National Crime Agency do Reino Unido e também com a Europol, além de ter firmado parceria com empresas privadas de 12 países diferentes. A partir daí, foi possível desativar a rede de bots do Gameover Zeus e impedir que ele continuasse contaminando milhares de computadores ao redor do mundo. Segundo o que foi explicado, desde o ano de 2011 o malware atingiu até 1 milhão de máquinas que executavam o sistema Windows, sendo que essa operação livrou cerca de 300 mil delas do programa malicioso em questão. Além do mais, a lucratividade alavancada por esta praga foi alta. De acordo com estimativas feitas, o vírus teria desviado US$ 100 milhões, algo em torno de R$ 230 milhões na cotação atual.
Isso ocorreu porque o botnet Gameover Zeus tinha a capacidade de roubar a senha e até mesmo arquivos de computadores de grandes corporações, com a liberação desses dados acontecendo somente com o pagamento de um resgate envolvendo altas cifras. Esse sistema de hijack foi atrelado a uma outra ameaça bastante conhecida que é o Cryptolocker, também identificado pela operação internacional que tinha como foco o Gameover Zeus. Além de tudo isso, o malware foi capaz de infectar tantas máquinas no planeta inteiro através de e-mails contaminados e disfarçados como cobranças, por exemplo.
Considerações Sobre "Simda"
A botnet "Simda" escravizava cerca de 770 mil computadores espalhados entre 190 países. Nesse processo nefasto, as vítimas tinham suas credenciais bancárias roubadas por meio de um software malicioso. Além disso, ele deixava uma porta aberta nas máquinas infectadas para que fosse feita a instalação de outros tipos de malware. De forma elementar, era perfeitamente possível aproveitar essas milhares de máquinas infectadas para realizar todo tipo de ação. A botnet era capaz de se modificar em algumas horas e assim, permanecia indetectável, mantendo-se invisível aos softwares antivírus. Ressaltando que os operadores da rede utilizavam os mais diversos métodos para infecção, incluindo vulnerabilidades conhecidas no Flash, Java, Silverlight, dentre outros.
Sites legítimos eram alvo de ação de crackers para expor vítimas ao material infeccioso, e na sequência de ações, havia os métodos mais simples mas não menos eficazes, que incluíam spam por e-mail e emprego de várias técnicas de engenharia social. No decorrer da operação para desativar a botnet, foram confiscados 14 servidores espalhados por vários países dentre eles Holanda, Estados Unidos, Luxemburgo, Polônia e Rússia. A ação ocorreu simultaneamente entre a quinta-feira e a sexta-feira da semana passada, organizada pela Interpol em Cingapura. Além de tudo isso, empresas como Microsoft, Kaspersky e Trend Micro também participaram da operação.
Saiba Mais:
[1] Net Security http://www.net-security.org/secworld.php?id=18199