Майкрософт и федералы накрыли ботнет Цитадель!


Майкрософт и федералы накрыли ботнет Цитадель! Как Майкрософт отключили ботнет Цитадель, с помощью которого было украдено более 500 000 000 долларов?

Более года, Майкрософт и их партнеры из финансовых сервисов наблюдали за тем, как ботнет забирал миллионы долларов от своих жертв. Вечером 5 июня, Майкрософт объявила, что по направлению ФБР, они отключили массивный ботнет, известный как Цитадель.

Ричард Боскович, помощник главного советника отдела киберпреступности Майкрософт, сказал eSecurity Planet что было обнаружено более 1,400 ботнетов ассоциированных с этим malware. Майкрософту и их партнерам понадобилось довольно большое количество времени для обнаружения всех ботнетов Цитадель, действующих по всему миру.

"Это был долгосрочный процесс и мы полагались на наши финансовые сервисы и на наших партнеров чтобы убедиться в том, что мы сможем провести агрессивную операцию против угрозы," сказал Боскович.

Цитадель заражал компьютеры кейлоггером, который следил за активностью финансовых сайтов. Он заразил более пяти миллионов компьютеров на территории 90 стран и с помощью него было украдено более половины миллиарда долларов.

Как Цитадель заражал компьютеры?
Было несколько способов заражения компьютеров с помощью Цитадель. Боскович отметил, что среди методов заражения были спам и онлайн-реклама, которые заставляли жертву кликнуть на файл или ссылку, запускающую малварь на компьютере.

Хотя антивирусы всегда рекомендуются как лучшее средство для потребительского ПК, в случае с Цитадель, жертвы не хотели запускать антивирус.

"Исследование Майкрософт также показало что до того как Майкрософт и их партнеры накрыли ботнетовскую сеть, угроза блокировала допуск жертв ко многим антивирусным сайтам, что бы не позволить им удалить инфекцию из компьютера," сказал Боскович. "После нашей операции, жертвы вернут доступ к этим сайтам, и возможно что с помощью этого вирус с их компьютера автоматически удалится."

Как Майкрософт и их партнеры обнаружили ботнет Цитадель?
Майкрософт использовала средства своих партнеров чтобы идентифицировать операции ботнетов." Боскович объяснил. "Средства, которые мы использовали включали в себя произведенные от Агари, лидеры в финансовых технологических сервисах, и другие технологии от наших партнеров."

Потомок Zeus'а
Как говорится в сообщении от Symantec, Цитадель появился в 2011 году, и произошел от своего русского предка Zeus. Он продается на подпольных форумах как набор для хакера вместе с payload-билдерами, серверной инфраструктурой для командования и управления и даже скриптами с настройками для различных банков.

Более чем три четверти от всех атак были направлены на пользователей из трех стран: США, Австралии и Италии.

Создатели Цитадель добавили продвинутые опции, такие как утилита, позволяющая ботмастерам использовать технологию инъекции в браузер для дальнейшего продвижения малвари.

Цитадель: Полученные уроки
Как результат «падения Цитадели», были изучены некоторые уроки, которые помогут Майкрософту и остальным ограничить риск подобных атак в будущем. Боскович отметил что, хотя процесс продолжается, Майкрософт использует опыт полученный от этой операции для работы с провайдерами Интернет-служб (ISP) и обществом команд аварийного реагирования (CERT) по всему миру, до полного очищения жертв.

«Майкрософт опубликует эту информацию через их программу по разведыванию кибер-угроз (C-TIP), включая объявленную недавно, базированную на cloud версию этой программы» сказал Боскович. «Также, мы будем использовать эту информацию для получения больших знаний и планирования следующих действий».

В заключение Боскович сказал, что пользователи ПК должны практиковать компьютерную гигиену и периодически обновлять свои системы, а также не нажимать на неизвестные ссылки.

Майкрософт опубликовало дополнительную информацию и утилиты для очищения малвари здесь.

 (голосов: 2)




Если Вам понравилась новость, поделитесь с друзьями:

html-ссылка на публикацию
BB-ссылка на публикацию
Прямая ссылка на публикацию


Комментарии (0) Напечатать

Другие новости по теме:
Уважаемый посетитель, Вы зашли на сайт Hacker-Lab.com как незарегистрированный пользователь. Мы рекомендуем Вам зарегистрироваться либо зайти на сайт под своим именем.

Информация

Посетители, находящиеся в группе Гости, не могут оставлять комментарии к данной публикации.