Microsoft, fbi обединяват сили; осакатен половин милиард долара цитадел ботнет

Радвай се! Ботнетът на Citadel падна! Компютрите, които някога е поробил, са безплатни и светът ще се оправи. Е, не съвсем, но Microsoft обяви вчера, че са си партнирали с ФБР и други организации, за да вземат офлайн 1462 известни, независими Citadel ботнета.

Действието, водено от Microsoft, се таксува като основен успех. В съобщение на ФБР бюрото написа, че те участват "в отделни, но координирани операции", в които участват Microsoft и други компании. „ФБР предостави информация на чуждестранни колеги по правоприлагането, за да могат те също да предприемат доброволни действия по ботнет инфраструктура, разположена извън САЩ“, пише бюрото. "ФБР също получи и връчи разрешени от съда заповеди за издирване, свързани с вътрешния пазар на ботнетите."

The Takedown

Microsoft започна разследването си върху Citadel през 2012 г. и бързо откри огромния обхват на незаконната операция. Те написаха в прессъобщение, че Citadel е заразила над пет милиона компютъра в 90 страни, включително САЩ, Европа, Китай, Индия и Австралия. Microsoft смята, че зловредният софтуер е бил отговорен за кражбата на половин милиард долара както от лица, така и от компании.

Първата стъпка към свалянето на сървърите започна в Окръжния съд на САЩ за Западния окръг на Северна Каролина, който разреши на Microsoft да прекъсне комуникациите между 1462 Citadel бонета и заразените компютри.

"На 5 юни Microsoft, придружен от маршалите в САЩ, иззе данни и доказателства от ботнетите", пише софтуерната компания. Това включва сървъри от съоръжения за хостинг на данни в Ню Джърси и Пенсилвания.

Кен Пикинг, стратег по сигурността в CORE Security, каза, че този вид публично-частно партньорство е добро нещо. "В частния сектор има определени умения и таланти, които не са в публичния сектор", каза той.

Пикингър продължи да казва, че свалянето на Citadel е полезно и за Microsoft. Той обясни, „това са подвизи на техния продукт и се отразяват върху тяхната потребителска база“.

Какво е Цитадела

Ако сте редовен четец на SecurityWatch, вероятно сте виждали цитадела, спомената и преди. Вероятно е най-известен с това, че е злонамереният полезен товар в дебала за злоупотреба с NBC.com, където законно закупената реклама съдържа злонамерен код.

По време на атаката на NBC, Malwarebyets каза на PC Mag, че Citadel е базирана на троянския трофей Zeus. Във вчерашното съобщение за излитането Microsoft специално извика възможностите на Citadel за провеждане на ключове и как се използва за компрометиране на банковите сметки на жертвата.

"Тъй като операторите използваха злонамерения софтуер, за да откраднат идентификационните данни за онлайн банкиране на жертвите и да извършат измамни транзакции, лидерите на индустрията за финансови услуги, включително FS-ISAC, NACHA, ABA и Agari, подкрепиха гражданския процес на Microsoft, служейки като декларатори в случая", пише Microsoft.

Цитадела е забележителна със своето разнообразие и лекота на настройка, а Symantec пише, че тя може да бъде закупена за около 3000 долара. Тези 1462 активни родни мрежи, споменати от Microsoft, са мрежи от заразени компютри, независими един от друг, но всички работещи със същия или подобен софтуер. Да се ​​надяваме, че това ще изпрати съобщение до други биха били притеснители, че Citadel може да не е инструмент на избор.

Въпреки че е трудно да се определи точният брой Citadel ботнети в природата, Пикингът беше оптимистичен. "Мисля, че те нарушиха голяма част от тях", каза той.

Въпреки това той отбеляза, че много ботнети са извън САЩ. „Голяма част от ботнетите работят в Украйна и Русия“, каза Пикинг.

Какво следва

Важното, което трябва да запомните е, че Цитаделата не е мъртва. „Поради размера и сложността на заплахата, Microsoft и нейните партньори не очакват напълно да елиминират всички ботнети, използващи Citadel“, пише Microsoft. "Очаква се обаче това действие да наруши значително работата на ботнетите, което ще направи по-рисково и по-скъпо киберпрестъпниците да продължат да правят бизнес и ще позволи на жертвите да освободят компютрите си от зловредния софтуер."

Въпреки че свалянето на сървърите със сигурност осакатява ботнета, увеличаването на риска и разходите за организациите и хората, управляващи Citadel ботнетите, вероятно е по-ценно. Повечето киберпрестъпления са игра с числа, разчитайки на много успехи - понякога малки успехи - за печелене на пари. Когато метод за нападение стане твърде труден или твърде скъп, престъпниците са принудени да правят иновации или да се отказват.

Най-важната следваща стъпка е премахването на зловредния софтуер на Citadel от заразените компютри, така че ботнетът на Citadel да не може да бъде възкресен по-късно. „Веднага след прекъсването, Microsoft ще използва информацията за заплахите, събрана по време на изземването, за да работи с доставчици на интернет услуги и компютърни екипи за спешна реакция по целия свят за бързо и ефективно уведомяване на хората, ако компютърът им е заразен“, пише Microsoft. Ако вече знаете, че сте се заразили, инструментите за премахване на злонамерен софтуер като нашия избор на редактора Malwarebytes Anti-Malware 1.70 биха били добра първа стъпка за почистване на вашия компютър.

Въпреки че Citadel наистина не е мъртъв, Microsoft, FBI и всички останали играчи бързо отбелязват, че просто работата заедно е била победа. Надяваме се, че ще имаме повече добри новини за други супергрупи, които работят за премахване на лошите.