Vídeo: Bots and Botnets - CompTIA Security+ SY0-501 - 1.1 (Novembro 2024)
Alegrar! A botnet da Citadel caiu! Os computadores que outrora escravizaram são livres e o mundo será consertado. Bem, não exatamente, mas a Microsoft anunciou ontem que fez parceria com o FBI e outras organizações para colocar 1.462 botnets Citadel independentes e conhecidos.
A ação, liderada pela Microsoft, está sendo considerada um grande sucesso. Em um comunicado do FBI, o departamento escreveu que eles participaram "de operações separadas, mas coordenadas", envolvendo a Microsoft e outras empresas. "O FBI forneceu informações a colegas estrangeiros responsáveis pela aplicação da lei, para que eles também pudessem tomar ações voluntárias na infraestrutura de botnets localizada fora dos Estados Unidos", escreveu o departamento. "O FBI também obteve e cumpriu mandados de busca autorizados pelo tribunal, relacionados internamente às redes de bots".
The Takedown
A Microsoft iniciou sua investigação sobre o Citadel em 2012 e descobriu rapidamente o escopo maciço da operação ilegal. Eles escreveram em um comunicado de imprensa que o Citadel havia infectado mais de cinco milhões de computadores em 90 países, incluindo EUA, Europa, China, Índia e Austrália. A Microsoft estima que o malware foi responsável por roubar meio bilhão de dólares de indivíduos e empresas.
O primeiro passo para derrubar os servidores começou no Tribunal Distrital dos EUA do Distrito Oeste da Carolina do Norte, que autorizou a Microsoft a interromper as comunicações entre 1.462 botnets do Citadel e os computadores infectados.
"Em 5 de junho, a Microsoft, escoltada pelos marechais dos EUA, apreendeu dados e evidências das redes de bots", escreveu a empresa de software. Isso incluía servidores de instalações de hospedagem de dados em Nova Jersey e Pensilvânia.
Ken Pickering, estrategista de segurança da CORE Security, disse que esse tipo de parceria público-privada era uma coisa boa. "Existem certas habilidades e talentos no setor privado que não estão no setor público", disse ele.
Pickering continuou dizendo que derrubar o Citadel também é bom para a Microsoft. Ele explicou: "essas são explorações de seus produtos e estão afetando sua base de usuários".
O que é Citadel
Se você é um leitor regular do SecurityWatch, provavelmente já viu o Citadel mencionado antes. Provavelmente, é mais conhecido por ser a carga maliciosa no desastre de publicidade do NBC.com, onde um anúncio comprado legalmente continha código malicioso.
No momento do ataque da NBC, Malwarebyets disse à PC Mag que o Citadel é baseado no Trojan Banking Zeus. No comunicado de ontem sobre a retirada, a Microsoft chamou especificamente os recursos de keylogging do Citadel e como foi usado para comprometer as contas bancárias da vítima.
"Como os operadores usaram o malware para roubar credenciais bancárias on-line das vítimas e fazer transações fraudulentas, os líderes do setor de serviços financeiros, incluindo FS-ISAC, NACHA, ABA e Agari, apoiaram o processo civil da Microsoft, servindo como declarantes no caso", escreveu a Microsoft.
O Citadel é notável por sua diversidade e facilidade de configuração, e a Symantec escreve que pode ser comprado por cerca de US $ 3.000. Esses 1.462 botnets ativos mencionados pela Microsoft são redes de computadores infectados independentes um do outro, mas todos executando o mesmo software - ou similar. Felizmente, isso enviará uma mensagem a outros incomodadores de que o Citadel pode não ser a ferramenta de escolha.
Embora seja difícil determinar o número exato de botnets do Citadel na natureza, Pickering estava otimista. "Acho que eles interromperam uma grande parte deles", disse ele.
No entanto, ele também observou que muitas redes de bots estão fora dos EUA. "Uma grande parte das redes de bots está operando na Ucrânia e na Rússia", disse Pickering.
Qual é o próximo
O importante é lembrar que Citadel não está morto. "Devido ao tamanho e à complexidade da ameaça, a Microsoft e seus parceiros não esperam eliminar completamente todas as botnets usando o Citadel", escreveu a Microsoft. "No entanto, espera-se que essa ação atrapalhe significativamente a operação das redes de bots, tornando mais arriscado e mais caro para os cibercriminosos continuarem fazendo negócios e permitir que as vítimas libertem seus computadores do malware".
Embora a desativação dos servidores certamente tenha prejudicado a botnet, aumentar o risco e o custo para as organizações e indivíduos que executam as botnets do Citadel é provavelmente mais valioso. A maioria dos crimes cibernéticos é um jogo de números, contando com muitos sucessos - às vezes pequenos sucessos - para ganhar dinheiro. Quando um método de ataque se torna muito difícil ou muito caro, os criminosos são forçados a inovar ou desistir.
O próximo passo mais importante é remover o malware Citadel dos computadores infectados, para que as botnets do Citadel não possam ser ressuscitadas posteriormente. "Imediatamente após a interrupção, a Microsoft usará a inteligência de ameaças coletada durante a apreensão para trabalhar com provedores de serviços da Internet e equipes de resposta a emergências de computadores em todo o mundo para notificar rápida e eficientemente as pessoas se o computador estiver infectado", escreveu a Microsoft. Se você já sabe que foi infectado, ferramentas de remoção de malware como o Malwarebytes Anti-Malware 1.70 do Editors 'Choice seriam um bom primeiro passo para limpar o seu computador.
Embora o Citadel não esteja realmente morto, a Microsoft, o FBI e todos os outros jogadores rapidamente apontam que apenas trabalhar juntos foi uma vitória. Espero que tenhamos mais boas notícias sobre outros supergrupos trabalhando para derrubar os bandidos.