Video: FBI offers $3m reward for GameOver Zeus creator Russian hacker Evgeniy Bogachev (November 2024)
Verheugen! Het Citadel-botnet is gevallen! De computers die het ooit tot slaaf maakte, zijn gratis en de wereld zal in orde worden gebracht. Nou, niet helemaal, maar Microsoft kondigde gisteren aan dat ze hadden samengewerkt met de FBI en andere organisaties om 1.462 bekende, onafhankelijke Citadel-botnets offline te halen.
De actie, geleid door Microsoft, wordt gefactureerd als een groot succes. In een FBI-release schreef het bureau dat ze "deelnamen aan afzonderlijke maar gecoördineerde operaties" waarbij Microsoft en andere bedrijven betrokken waren. "De FBI heeft informatie verstrekt aan tegenhangers van buitenlandse rechtshandhavingsinstanties zodat zij ook vrijwillige actie konden ondernemen op botnetinfrastructuur buiten de Verenigde Staten", schreef het bureau. "De FBI heeft ook door de rechtbank geautoriseerde huiszoekingsbevelen verkregen en gediend die verband houden met de botnets."
De Takedown
Microsoft begon hun onderzoek naar Citadel in 2012 en ontdekte snel de enorme omvang van de illegale operatie. Ze schreven in een persbericht dat Citadel meer dan vijf miljoen computers in 90 landen, waaronder de VS, Europa, China, India en Australië, had besmet. Microsoft schat dat de malware verantwoordelijk was voor het stelen van een half miljard dollar van zowel particulieren als bedrijven.
De eerste stap in het uitschakelen van de servers begon bij de Amerikaanse rechtbank voor het westelijke district van North Carolina, die Microsoft toestemming gaf om de communicatie tussen 1.462 Citadel-botnets en de geïnfecteerde computers af te sluiten.
"Op 5 juni heeft Microsoft, begeleid door de Amerikaanse Marshals, gegevens en bewijsmateriaal van de botnets in beslag genomen", schreef het softwarebedrijf. Dit omvatte servers van gegevenshostingfaciliteiten in New Jersey en Pennsylvania.
Ken Pickering, beveiligingsstrateeg bij CORE Security, zei dat dit soort publiek-private samenwerking een goede zaak was. "Er zijn bepaalde vaardigheden en talenten in de particuliere sector die niet in de openbare sector zijn", zei hij.
Pickering zei verder dat het uitschakelen van Citadel ook goed is voor Microsoft. Hij legde uit: "dit zijn exploits van hun product en beïnvloeden hun gebruikersbestand."
Wat is Citadel?
Als u een regelmatige lezer van SecurityWatch bent, heeft u Citadel waarschijnlijk al eerder genoemd. Het is waarschijnlijk het best bekend als de kwaadaardige lading in het NBC.com malvertising debacle, waar een legaal aangeschafte advertentie kwaadaardige code bevatte.
Ten tijde van de NBC-aanval vertelde Malwarebyets aan PC Mag dat Citadel is gebaseerd op de Zeus Banking Trojan. In de release van gisteren over de take-down, riep Microsoft specifiek de keylogging-mogelijkheden van Citadel en hoe het werd gebruikt om de bankrekeningen van het slachtoffer in gevaar te brengen.
"Omdat de operatoren de malware gebruikten om de bankgegevens van slachtoffers te stelen en frauduleuze transacties te doen, steunden leiders in de financiële dienstverlening, waaronder FS-ISAC, NACHA, ABA en Agari, de civiele rechtszaak van Microsoft door als aangever in de zaak te dienen", schreef Microsoft.
Citadel is opmerkelijk vanwege zijn diversiteit en eenvoudige installatie, en Symantec schrijft dat het kan worden gekocht voor ongeveer $ 3.000. Deze 1.462 actieve botnets die door Microsoft worden genoemd, zijn netwerken van geïnfecteerde computers die onafhankelijk zijn van elkaar, maar allemaal dezelfde of vergelijkbare software gebruiken. Hopelijk zal dit een bericht sturen naar andere zou lastig vallen dat Citadel misschien niet het hulpmiddel bij uitstek is.
Hoewel het moeilijk is om het exacte aantal Citadel-botnets in het wild te bepalen, was Pickering optimistisch. "Ik denk dat ze een groot deel van hen hebben verstoord, " zei hij.
Hij merkte echter ook op dat veel botnets zich buiten de VS bevinden. "Een groot deel van de botnets is actief in Oekraïne en Rusland, " zei Pickering.
Wat is het volgende
Het belangrijkste om te onthouden is dat Citadel niet dood is. "Vanwege de omvang en de complexiteit van de dreiging verwachten Microsoft en haar partners niet alle botnets volledig te verwijderen met Citadel", schreef Microsoft. "Er wordt echter verwacht dat deze actie de werking van de botnets aanzienlijk zal verstoren, waardoor het voor cybercriminelen riskanter en duurder wordt om zaken te blijven doen en slachtoffers in staat stellen hun computers van de malware te bevrijden."
Hoewel het uitschakelen van de servers het botnet zeker heeft verlamd, is het verhogen van het risico en de kosten voor de organisaties en individuen die Citadel-botnets beheren waarschijnlijk waardevoller. De meeste cybercriminaliteit is een spel met getallen, dat afhankelijk is van veel successen - soms kleine successen - om geld te verdienen. Wanneer een aanvalsmethode te moeilijk of te duur wordt, worden criminelen gedwongen te innoveren of op te geven.
De belangrijkste volgende stap is het verwijderen van de Citadel-malware van geïnfecteerde computers zodat Citadel-botnets niet later kunnen worden opgewekt. "Onmiddellijk na de verstoring zal Microsoft de tijdens de inbeslagname verzamelde dreigingsinformatie gebruiken om met internetproviders en Computer Emergency Response Teams wereldwijd samen te werken om mensen snel en efficiënt te informeren als hun computer is geïnfecteerd", schreef Microsoft. Als u al weet dat u bent geïnfecteerd, zijn malware-verwijderingsprogramma's zoals onze Editors 'Choice Malwarebytes Anti-Malware 1.70 een goede eerste stap voor het opschonen van uw computer.
Hoewel Citadel niet echt dood is, wijzen Microsoft, de FBI en alle andere spelers er snel op dat alleen samenwerken een overwinning was. Hopelijk hebben we meer goede nieuwsverhalen over andere supergroepen die de slechteriken proberen te verslaan.
