Video: Planetary Clouds, Police Forces & Ship Naming | Star Citizen Postmortem (Novembre 2024)
Rallegrarsi! La botnet Citadel è caduta! I computer che una volta erano stati ridotti in schiavitù sono gratuiti e il mondo sarà messo a posto. Bene, non del tutto, ma Microsoft ha annunciato ieri di aver collaborato con l'FBI e altre organizzazioni per portare offline 1.462 bot Citadel indipendenti conosciute.
L'azione, guidata da Microsoft, è stata annunciata come un grande successo. In una versione dell'FBI, l'ufficio ha scritto che hanno partecipato "in operazioni separate ma coordinate" che coinvolgono Microsoft e altre società. "L'FBI ha fornito informazioni alle controparti delle forze dell'ordine straniere affinché potessero anche intraprendere azioni volontarie su infrastrutture botnet situate al di fuori degli Stati Uniti", ha scritto l'ufficio di presidenza. "L'FBI ha anche ottenuto e servito mandati di ricerca autorizzati dal tribunale in relazione alle reti bot".
The Takedown
Microsoft ha iniziato le sue indagini su Citadel nel 2012 e ha rapidamente scoperto l'enorme portata dell'operazione illegale. Hanno scritto in un comunicato stampa che Citadel aveva infettato oltre cinque milioni di computer in 90 paesi tra cui Stati Uniti, Europa, Cina, India e Australia. Microsoft stima che il malware sia stato responsabile del furto di mezzo miliardo di dollari sia da parte di privati che di aziende.
Il primo passo per smantellare i server è iniziato nel tribunale distrettuale degli Stati Uniti per il distretto occidentale della Carolina del Nord, che ha autorizzato Microsoft a interrompere le comunicazioni tra 1.462 botnet Citadel e i computer infetti.
"Il 5 giugno Microsoft, scortata dai Marescialli statunitensi, ha sequestrato dati e prove dalle botnet", ha scritto la società di software. Ciò includeva server dalle strutture di hosting dei dati nel New Jersey e in Pennsylvania.
Ken Pickering, stratega della sicurezza di CORE Security, ha affermato che questo tipo di partenariato pubblico-privato è stato positivo. "Ci sono alcune abilità e talenti nel settore privato che non sono nel settore pubblico", ha detto.
Pickering ha continuato dicendo che abbattere Citadel è un bene anche per Microsoft. Ha spiegato, "questi sono exploit del loro prodotto e stanno influenzando la loro base di utenti".
Cos'è la Cittadella
Se sei un lettore regolare di SecurityWatch, probabilmente hai già visto Citadel menzionato prima. Probabilmente è più noto per essere il payload dannoso nella debacle malvertising di NBC.com, dove un annuncio acquistato legalmente conteneva codice dannoso.
Al momento dell'attacco della NBC, Malwarebyets disse a PC Mag che Citadel era basato sul Trojan Banking Zeus. Nel comunicato di ieri sul decollo, Microsoft ha specificamente indicato le funzionalità di keylogging di Citadel e il modo in cui è stato utilizzato per compromettere i conti bancari delle vittime.
"Poiché gli operatori hanno utilizzato il malware per rubare le credenziali bancarie online delle vittime ed effettuare transazioni fraudolente, i leader del settore dei servizi finanziari tra cui FS-ISAC, NACHA, ABA e Agari hanno supportato la causa civile di Microsoft fungendo da dichiaranti nel caso", ha scritto Microsoft.
Citadel è notevole per la sua diversità e facilità di installazione, e Symantec scrive che può essere acquistato per circa $ 3.000. Queste 1.462 botnet attive menzionate da Microsoft sono reti di computer infetti indipendenti l'una dall'altra, ma tutte con lo stesso software o simile. Speriamo che questo invierà un messaggio ad altri che potrebbero disturbare che Citadel potrebbe non essere lo strumento preferito.
Sebbene sia difficile determinare il numero esatto di botnet Citadel in natura, Pickering era ottimista. "Penso che abbiano interrotto gran parte di loro", ha detto.
Tuttavia, ha anche notato che molte botnet sono al di fuori degli Stati Uniti. "Una grande parte delle botnet opera in Ucraina e Russia", ha dichiarato Pickering.
Qual è il prossimo
La cosa importante da ricordare è che la Cittadella non è morta. "A causa delle dimensioni e della complessità della minaccia, Microsoft e i suoi partner non si aspettano di eliminare completamente tutte le botnet utilizzando Citadel", ha scritto Microsoft. "Tuttavia, si prevede che questa azione interromperà significativamente il funzionamento delle botnet, rendendo più rischioso e costoso per i criminali informatici continuare a fare affari e consentire alle vittime di liberare i loro computer dal malware".
Sebbene lo smantellamento dei server abbia sicuramente paralizzato la botnet, aumentare i rischi e i costi per le organizzazioni e gli individui che gestiscono le botnet Citadel è probabilmente più prezioso. La maggior parte del crimine informatico è un gioco di numeri, che si basa su molti successi - a volte piccoli successi - per fare soldi. Quando un metodo di attacco diventa troppo difficile o troppo costoso, i criminali sono costretti a innovare o rinunciare.
Il passo successivo più importante è rimuovere il malware Citadel dai computer infetti in modo che le botnet Citadel non possano essere resuscitate in seguito. "Immediatamente dopo l'interruzione, Microsoft utilizzerà l'intelligence sulle minacce raccolte durante il sequestro per lavorare con i fornitori di servizi Internet e le squadre di risposta alle emergenze del computer in tutto il mondo per avvisare rapidamente ed efficacemente le persone se il loro computer è infetto", ha scritto Microsoft. Se sai già di essere stato infettato, strumenti di rimozione del malware come il nostro Editors 'Choice Malwarebytes Anti-Malware 1.70 sarebbe un buon primo passo per ripulire il tuo computer.
Anche se Citadel non è davvero morto, Microsoft, l'FBI e tutti gli altri giocatori sottolineano rapidamente che lavorare insieme è stata una vittoria. Speriamo di avere altre buone notizie su altri supergruppi che lavorano per abbattere i cattivi.