• Botnets Bancárias Persistem Apesar de "Takedowns"

    A fim de fornecer às organizações uma visão sobre as botnets bancárias mais insidiosas e constantes que estão sendo usadas ​​para atacar as instituições financeiras e seus clientes, a Dell SecureWorks lançou no decorrer da Conferência RSA 2015, a sua análise anual de ameaças Top Banking Botnets. Este relatório descreve o funcionamento interno de cada botnet bancária e fornece indicadores-chave para cada uma delas, de modo que as organizações possam ajudar a se proteger contra essas ameaças. Dentre os principais destaques, estão incluídos além de sites bancários tradicionais, sites relacionados à finanças corporativas e serviços de folha de pagamento das empresas, negociação de ações, redes sociais, serviços de e-mail, empresas de telefonia, portais de emprego, portais de entretenimento e portais de relacionamento.


    Moeda Crypto como Bitcoin, passou a ser uma nova adição à lista de alvos de botnets bancários em 2014. Os atacantes utilizaram Trojans bancários para atingir mais de 1.400 instituições financeiras em mais de 80 países. Além disso, mais de 90 por cento de todos os trojans tem como alvo instituições financeiras estabelecidas nos Estados Unidos, seguido pelo Reino Unido, Alemanha, Itália, Espanha e Austrália. Além disso, os atacantes começaram a evitar países onde transações internacionais são mais difíceis de serem realizadas e exigem intervenção local para lavar o dinheiro. Como resultado disso, os ataques cibernéticos aumentaram contra bancos e outras organizações na Ásia, onde as instituições tendem a apresentar maior fraqueza em relação à segurança. Mesmo com várias notícias envolvendo esta praga, ainda há pessoas que ficam em dúvida em relação à composição desse elemento nocivo, a botnet. A palavra botnet é formada pelas palavras "robot" e "network". Os criminosos da Internet usam cavalos de Troia especiais para dar um bypass na segurança dos computadores dos usuários, podendo assim assumir o controle de cada computador e organizar todas as máquinas infectadas em uma rede "robotizada", a qual eles podem gerenciar remotamente.

    E de qual forma as botnets podem afetar as pessoas? Geralmente, a intenção do criminoso cibernético é infectar e controlar milhares, dezenas de milhares ou até milhões de computadores para poder agir como mestre de uma enorme rede zumbi ou bot-network; essa rede é capaz de enviar ataques distribuídos de negação de serviço (os famosos DDoS), uma campanha de spam em grande escala ou desencadear outros tipos de ataque virtual. Em alguns casos, os cybercriminosos estabelecem uma ampla rede de máquinas zumbis, depois vendem seu acesso a outros criminosos, seja através de aluguel ou venda direta. Os criminosos que enviam spam, podem alugar ou comprar uma rede para veicular campanhas de spam em larga escala.


    Como Proceder em Relação à Segurança do Computador e Mantê-lo Salvo das Botnets

    Ao instalar um software anti-malware eficiente e poderoso, você protege seu computador contra as ações de trojans das mais diversas naturezas e outras ameaças que rondam sistemas e software. Falando em malware, muitas pessoas ainda pensam que o malware é um software que interrompe completamente o funcionamento normal de computadores. Caso o seu computador esteja funcionando perfeitamente, significa que ele "não está infectado". Mas isso é pura ilusão. O principal objetivo dos cybercriminosos não é apenas fazer um ataque por pura diversão, mas sim alavancar uma boa lucratividade com isso, afinal de contas, cybercriminoso não dá ponto sem nó. Em muitos casos, o objetivo é completamente contrário ao comportamento do malware: o melhor mesmo é ser/estar totalmente vísivel para os usuários.


    Milhares de Computadores Infectados Compõem uma Botnet

    As botnets consistem em milhares de computadores, e se estamos falando sobre as grandes botnet, são centenas de milhares de máquinas. Os proprietários desses computadores não fazem a menor idéia de que eles estão infectados. Tudo que eles podem ver é que o computador trabalha um pouco mais lento, o que não é incomum nos computadores de uma forma geral. Além disso tudo, as botnets são projetadas para coletar dados pessoais, incluindo senhas, números de previdência social, detalhes do cartão de crédito, endereços e números de telefone. Estes dados geralmente são usados em crimes como roubo de identidade, vários tipos de fraude, campanhas massivas de spam e distribuição de outros tipos de malware. As botnets também podem ser usadas para desencadear ataques contra sites e redes. Esse processo sempre leva a um esforço de muitas partes que colaboram para interromper uma grande botnet. Um exemplo recente disso é a botnet Simda, que ao que tudo indica, pode ter infectado mais de 770 mil computadores em mais de 190 países. Os países mais afetados pela praga são os Estados Unidos, Reino Unidos, Turquia, Canadá e Rússia.

    A botnet Simda é uma "botnet de vendas" que era usada para distribuir software ilícitos e diferentes tipos de malware, incluindo aqueles que são capazes de roubar credenciais financeiras. Os criadores desses programas maliciosos específicos, são clientes dos proprietários da Simda e simplesmente pagam uma taxa por cada instalação. Em outras palavras, esta botnet tem a característica da enorme cadeia de comércio de malware "manufaturados". Outro detalhe importante é que a botnet Simda estava ativada há anos. Para tornar o malware mais efetivo, os proprietários da Simda estavam trabalhando bastante no desenvolvimento de outras novas versões, gerando e distribuindo-as frequentemente em poucas horas. De acordo com informações da equipe de segurança da Kaspersky Lab, foram coletados mais de 260 mil arquivos executáveis que pertencem a diferentes versões de malware da botnet Simda.


    Derrubada dos Servidores que Mantinham a Botnet Simda

    De maneira simultânea, a Kasperky Lab derrubou os 14 servidores de comando e controle da botnet Simda que estavam localizados na Holanda, nos Estados Unidos, em Luxemburgo, na Rússia e na Polônia. Toda a ação ocorreu recentemente, no dia 09 de abril. A lista das organizações envolvidas na operação ilustra perfeitamente a complexidade do problema: Interpol, Microsoft, Kaspersky Lab, Trend Micro, Cyber Defense Institute, FBI, Dutch National High-Tech Crime Unit (NHTCU), Police Grand-Ducale Section Nouvelles Technologies in Luxembourg e o Departamente Interior do ministério russo, que trabalharam juntos e exaustivamente para neutralizar os cybercriminosos. Outra importante observação a ser feita, é que as botnets são redes geograficamente destruídas e, geralmente, é uma tarefa muito desafiadora interromper coisas como essas. Por isso o esforço colaborativo de ambos os setores, privado e público, foi um ponto crucial neste contexto, pois todas as partes deram suas próprias e importantes contribuições na articulação do projeto, considerou Vitaly Kamluk, principal pequisador de segurança da Kaspersky Lab, e atualmente membro da Interpol. Neste caso, o papel da Kaspersky Lab forneceu uma análise técnica do ataque, coletou telemétricas da botnet para a rede de segurança da Kaspersky e aconselhou estratégias para realizar todo o processo de interrupção.


    Investigação em Curso Relacionada aos Reais Responsáveis pelas Ações da Botnet Simda

    Como a investigação ainda continua, é muito cedo para dizer quem está, de fato, por trás das atividades nefastas da botnet Simda. O que é importante para nós, usários, é que, como resultado da operação de interrupção das atividades do malware, os servidores de comando e controle utilizados pelos cybercriminosos para se comunicar com as máquinas infectadas foram encerrados, ou seja, estão fora de atividade. Apesar da operação da botnet Simda ter sido suspensa, muitas pessoas cujo computadores foram infectados por este malware, devem livrar-se desta praga o mais rápido possível, tomando as devidas medidas para tal finalidade. Além do mais, com a utilização de informações recuperadas a partir da botnet Simda e dos servidores de comando e controle da Kaspersky Lab, foi criada uma página especial onde as pessoas podem checar se o endereço de IP dos seus computadores está na lista dos infectados pela botnet.

    Existe ainda uma outra opção para se certificar se está tudo certo com o seu computador: usar a ferramenta gratuita que é "Kaspersky Security Scan" ou fazer o download da versão de teste, válida por três meses, da solução mais poderosa, que é o Kaspersky Internet Security. É claro que todas as soluções da Kaspersky Lab detectam o malware Simda. Para obter mais informações sobre a botnet Simda e suas atividades, confira o Securelist. Apenas lembrando que, para se defender dos Botnets de maneira geral, é necessário atualizar o sistema de segurança e configurar o firewall. A orientação é se informar sobre atualizações em sistemas Windows. Outra alternativa, são as soluções antivírus, tendo em vista que hoje em dia há muitas soluções ótimas no mercado, que bloqueiam a entrada de possíveis invasores. O porém disso tudo, é que algumas Botnets mais agressivas e sofisticadas, conseguem burlar as barreiras e acessar os sistemas visados.


    Saiba Mais:

    [1] Malware News - Net Security http://www.net-security.org/secworld.php?id=18287

Visite: BR-Linux ·  VivaOLinux ·  Dicas-L