Botnet que desviou U$ 100 milhões em todo mundo foi desativado

internetreportOntem (03/06), foi divulgado que uma operação internacional conseguiu desativar o malware Gameover Zeus. Para que isso fosse possível, o FBI trabalhou em conjunto com a National Crime Agency do Reino Unido e também com a Europol, além de ter firmado parceria com empresas privadas de 12 países diferentes.

Sendo assim, foi possível desativar a rede de bots do Gameover Zeus e impedir que ele continue contaminando milhares de computadores ao redor do mundo. Segundo o que foi explicado, desde 2011 o malware atingiu até 1 milhão de máquinas que rodam o sistema Windows, sendo que essa operação livrou cerca de 300 mil delas do programa malicioso em questão.

Um sistema muito lucrativo

Com o passar dos anos, estima-se que o vírus tenha desviado US$ 100 milhões, algo em torno de R$ 230 milhões na cotação atual. Isso aconteceu pelo fato de que o Gameover Zeus é capaz de roubar a senha e até mesmo arquivos de computadores de grandes corporações, com a liberação desses dados acontecendo somente com o pagamento de um resgate envolvendo altas cifras.

Esse sistema de sequestro foi atrelado a uma outra ameaça chamada Cryptolocker, também identificado pela operação internacional que tinha como foco o Gameover Zeus. Além de tudo isso, o malware foi capaz de infectar tantas máquinas no planeta inteiro através de emails contaminados e disfarçados como cobranças, por exemplo.

Solução que não é permanente

O FBI afirmou que rastreou o malware até a Rússia, mas que ainda não sabe exatamente qual é o grupo ou a pessoa que está por trás de todos esses golpes. Apesar disso, as autoridades norte-americanas identificaram o russo Evgeniy Mikhailovich Bogachev como um dos principais suspeitos, acusando-o de fraude, lavagem de dinheiro e conspiração.

Por fim, Leslie Caldwell, dirigente da divisão criminal do Departamento de Justiça dos Estados Unidos, disse: “Esse esquema era altamente sofisticado, extremamente lucrativo e difícil de interromper”. E, apesar de o sistema estar desativado no momento, há a possibilidade de que outros crackers envolvidos venham a ativar novamente o Gameover Zeus.

Agradeço ao Davi, amigo e colaborador do seu micro seguro, pela referência a essa notícia.

Fontes: Tecmundo e threat post

Conheça a Botnet que infectou 200 mil PCs

botnetA equipe da AnubisNetworks, através dos seus sistemas de detecção de ameaças, identificou em Dezembro o reaparecimento do Qakbot, uma botnet que surgiu em 2011 para extorquir informações de contas bancárias online.
Entre 2009 e 2011, o Qakbot infectou mais de 200 mil computadores. Desde então, e com as empresas a conterem as infecções, o Qakbot desapareceu do radar de segurança.

Segundo o resultado da análise feita pela AnubisNetworks, desde o seu reaparecimento, já foram infectados por esta botnet pelo menos 20 mil computadores, na sua maioria em solo americano, o que pode ser um indicador que o malware ainda tem como objetivo infectar dispositivos que as pessoas utilizam para acessar serviços bancários norte-americanas (ex.: Internet banking). Os criadores desta botnet não estão só controlando 20 mil computadores infectados, como também actualizaram o protocolo C&C e estão criando novas versões de malware.

É importante ter em conta que por trás destes computadores infectados estão pessoas e empresas que correm elevados riscos de perdas financeiras com esta botnet. A AnubisNetworks espera que os dados fornecidos em tempo real pelo Cyberfeed através desta pesquisa, ajudem a comunidade na luta contra o Qakbot. As seguintes hashes correspondem às variantes mais recentes do Qakbot registadas durante a pesquisa:

MD5: 749a7ad84212bd78e46d240a4f434; SHA1:

ee0aa995aa83f14c977f302e18dee73d390b33 (VirusTotal)

MD5:e9201c8b12ac40229e9ce3f82f5c608; SHA1:

12e87875da5af95e86858f29a4825f6de8d73540 (VirusTotal)

Esta pesquisa foi realizada por Martijn Grooten da Virus Bulletin em estreita colaboração com João Gouveia, CTO da AnubisNetworks.

Sobre o Cyberfeed

O Cyberfeed é um serviço baseado em feeds de dados, que disponibiliza às empresas e organizações informação em tempo real sobre eventos relacionados com ameaças de segurança, que ocorrem a nível mundial e são de extrema importância.

Desenvolvido para responder às necessidades de diversos mercados, como por exemplo o de bancos e organizações financeiras, o Cyberfeed é uma plataforma de inteligência global em streaming, que coleta e transmite informações sobre ameaças de segurança, com visibilidade em tempo real.

Através de uma API (Application Programming Interface), os consumidores dos feeds obtêm, em tempo real, informação relativa a milhões de dispositivos infectados, tipo de trojans detectados, quais as mudanças na reputação dos sistemas e os riscos que a infecção pode representar para a rede e infraestrutura da empresa.

Agradeço ao Davi, amigo e colaborador do seu micro seguro, pela referência a essa notícia.

Fonte: pplware

Extensão falsa para Firefox alimentava Botnet

BotnetMalware disfarçado de extensão servia para que criadores da ameaça invadissem ainda mais sites

Uma ameaça bastante inovadora e poderosa foi descoberta pelo jornalista Brian Krebs e contada em detalhes no blog pessoal do especialista. Ele encontrou uma botnet que, disfarçada de extensão para Firefox, transforma você no próprio criminoso.

Explicamos: se você baixasse uma extensão que fingia ser um assistente do Microsoft .NET Framework (mas que na verdade era a ameaça “Advanced Power”, como ficou conhecida a botnet), o computador procurava em segredo vulnerabilidades em todas as páginas da internet visitadas pela vítima.

A botnet conduzia os ataques via injeções de SQL, uma forma de inserção de comandos bastante comum em ataques. Ela explora falhas no sistema para adicionar códigos maliciosos em bancos de dados, criando “armadilhas” para quem acessar o site futuramente ou forçá-lo a soltar informações importantes de segurança.

Krebs afirma que a botnet ainda tinha poder para roubar senhas e outras informações da máquina infectada, mas esse “poder” não parecia ativado até o momento. Em atividade desde maio de 2013, ela foi temporariamente desabilitada, já que a Mozilla deletou a extensão falsa da loja virtual.

Agradeço ao Davi, amigo e colaborador do seu micro seguro, pela referência a essa notícia.

Fontes: Tecmundo e Brian Krebs

Microsoft desmantela rede com 2 milhões de PCs infectados

MicrosoftA Microsoft desativou a maior rede doméstica infectada de que se tem conhecimento. Cerca de 2 milhões de máquinas no mundo inteiro estavam envolvidas, segundo a Reuters. A companhia conseguiu interromper o esquema graças a uma parceria com o European Cybercrime Centre (EC3), o FBI e outros como a A10 Networks.

Foi bloqueado o tráfego a 18 sites usados para direcionar ações fraudulentas a máquinas infectadas. A rede, chamada de ZeroAccess, forçava os computadores comprometidos a clicar em anúncios sem o conhecimento de seus usuários.

O esquema é tão sofisticado que enganava buscadores como Google e Bing, fazendo-os gastar cerca de US$ 2,7 milhões por mês pagando por anúncios que não tinham chances efetivas de levar à venda do produto/serviço anunciado.

De acordo com a Reuters, é a oitava vez que a Microsoft combate uma botnet (rede comprometida). Ela só conseguiu desmantelar o esquema porque o código presente nas máquinas infectadas levava ao endereço de um dos 18 sites usados para o redirecionamento. Acredita-se que os operadores da rede controlavam tudo da Rússia.

Agradeço ao Davi e ao Lucas, amigos e colaboradores do seu micro seguro, pela referência a essa notícia.

Fonte: Olhar Digital

Até a rede Tor pode estar comprometida

botnet-tor

A rede Tor, que ficou muito conhecido por oferecer acesso à deep web, está sob ataque de uma botnet russa e ninguém sabe o motivo. O principal indício da atuação dos computadores zumbis é o aumento impressionante do tráfego no Tor, que passou de 600 mil para 1,2 milhões de usuários por semana.

Inicialmente, muitas pessoas pensaram que a combinação entre uma nova lei de censura na Rússia, o programa de espionagem da Agência de Segurança dos Estados Unidos (NSA), e ataques dos hackers do Exército Eletrônico da Síria tivesse levado os novos usuários a buscar segurança no Tor, que tem como maiores características o anonimato e a privacidade.

Apesar de esse raciocínio fazer sentido, o blog Fox IT tem outra explicação para o aumento repentino nos acessos à rede dos ativistas da privacidade: aumento do uso de botnets. O blog de segurança alega ter encontrado evidências que sugerem que uma botnet específica e desconhecida é responsável pela maior parte do aumento de utilizadores da rede Tor nos últimos dias.

“Normalmente, o propósito é bastante claro, como um malware bancário, fraudulento, ransonware ou falsos antivírus. Neste caso, no entanto, é um pouco mais difícil. É possível que a finalidade desta rede de malwares seja carregar novos malwares para o sistema”, explica o site. “No entanto, não temos nenhuma evidência de que isso é verdade, então essa hipótese é meramente baseada em uma combinação de pequenas dicas”.

Na verdade, o anonimato prometido pela navegação segura da rede Tor está comprometido. O The Irish Times divulgou uma pesquisa realizada por pesquisadores da Universidade de Georgetown que revela que 50% dos usuários da rede Tor podem ter seu anonimato comprometido dentro de três meses de uso regular do serviço, enquanto 80% dos usuários podem ser identificados depois de seis meses de atividade na rede. “Nós observamos que o uso do BitTorrent é particularmente perigoso”, acrescentou o relatório.

Se todas essas informações não são suficientes para fazê-lo acreditar que nem mesmo a rede Tor está mais tão segura, o próprio FBI é suspeito de criar um software malicioso, que aproveita vulnerabilidades de segurança do Firefox para identificar usuários dessa rede. O programa faz com que as informações de identificação do navegador caminhem diretamente para os federais norte-americanos, conforme informações da Wired.

Agradeço ao Davi e ao Lucas, amigos e colaboradores do seu micro seguro, pela referência a essa notícia.

Fonte: canaltech