GOZeuS – Gameoverzeus – Το απόλυτο botnet

Ο αναπληρωτής γενικός εισαγγελέας των ΗΠΑ Cole ανακοίνωσε ότι στα πλαίσια της συνεργασίας του FBI της εθνικής εγκληματολογική υπηρεσία της Μεγάλης Βρετανίας και της europol βάση του προγράμματος operation Tovar έφτασαν κοντά στο να διαλύσουν ολοκληρωτικά το botnetgameoverzeus” ή “GOZeuS“. Μάλιστα δεν απενεργοποίησαν μόνο το προαναφερόμενο botnet αλλά με τη βοήθεια εταιρειών ασφαλείας λογισμικού απενεργοποίησαν μέρος του γνωστού ransomeware Cryptolocker. Στην Ελλάδα έχουμε δει πάρα πολλές εφαρμογές των ransomeware το τελευταίο καιρό με το Cryptolocker να μας μπερδεύει περισσότερο από όλα.

Πως δούλευε η απάτη:

Τι είναι όμως το gameoverzeus? Γενικά ας πούμε πως ένα κακόβουλο λογισμικό (malware) που λειτουργεί από Η/Υ σε Η/Υ (P2P) το οποίο λειτουργώντας στο παρασκήνιο του Η/Υ αναζητά και κλέβει κρίσιμες τραπεζικές πληροφορίες όπως αριθμούς λογαριασμών και κωδικούς πρόσβασης με σκοπό να μεταφερθούν χρηματικά ποσά σε offshore τράπεζες. Το malware αντέγραφε τον εαυτό του από λογαριασμό email σε λογαριασμό email και προσπαθούσε να πείσει τον χρήστη να επισκεφτεί κακόβουλους συνδέσμους (links).

Τεχνικά μιλώντας, ένα botnet είναι ένα μεγάλο δίκτυο από υπολογιστές διασυνδεδεμένους μέσω internet, που υπακούν στις βουλές ενός command server. Φανταστείτε το σαν μια μεγάλη κυψέλη μελισσών με τα μολυσμένα PC να παίζουν τον ρόλο των εργατριών και τον command server τον ρόλο της βασίλισσας. Όπως οι ανάγκες της βασίλισσας ικανοποιούνται μέσω των δράσεων των εργατριών, έτσι ακριβώς τα μολυσμένα PC δρούσαν άβουλα (ζόμπι) κάνοντας κινήσεις στο internet χωρίς τη συγκατάθεση του χρήστη. Η τεράστια συγκεντρωμένη επεξεργαστική ισχύς του botnet, έδινε τη δυνατότητα στον διαχειριστή – hacker του server να αποκρυπτογραφήσει τραπεζικά δεδομένα, κωδικούς πρόσβασης και προσωπικά στοιχεία, εύκολα. Όλα αυτά γίνονται τελείως αθόρυβα με τον χρήστη να μην παίρνει μυρωδιά τίποτα, εκτός αν έχει τους δικτυακούς του πόρους υπό μόνιμη παρακολούθηση, κάτι που φυσικά δεν κάνει ποτέ κανένας μας.

Χάρτης για ένα μικρό botnet σαν το GOZeuS

Επεξηγηματικός χάρτης για ένα μικρό botnet

 

Ταυτόχρονα το GOZeuS εξαπλωνόταν μαζικά, μεγαλώνοντας το botnet και αυξάνοντας την πιθανότητα επιτυχημένης αποκρυπτογράφησης όλο και πιο πολύπλοκων συστημάτων.

Συγκριτικά με αυτό το εντυπωσιακό cybercrime εγχείρημα, το Cryptolocker μοιάζει ασήμαντο. Στη πραγματικότητα, πρόκειται για μία από τις πιο έξυπνες ηλεκτρονικές απάτες μέχρι σήμερα. Το Cryptolocker ‘κατεβαίνει’ συνήθως με τη μορφή προγράμματος κρυπτογράφησης δεδομένων (κυρίως φωτογραφιών) χωρίς να κάνει αισθητό τον trojan χαρακτήρα του. Άμεσα, μετά την εγκατάσταση, αρχίζει το κλείδωμα των φωτογραφιών που είναι αποθηκευμένες στον υπολογιστή, μην αφήνοντας τον χρήστη να τις δει, χωρίς – φυσικά – να καταθέσει μερικά χρήματα σε ιντερνετικούς λογαριασμούς, για την πλήρη αγορά του… trojan! Φυσικά όλα τα χρήματα πηγαίνουν υπέρ του χάκερ που γελάει με την άγνοιά των χρηστών.

 

ransomware της Αμερικής. Μαζί με το GOZeuS και το Cryptolocker

Τυπική εικόνα ransomware της Αμερικανικής αγοράς

 

Τα ransomware, όπως είπαμε, έχουν κάνει ιδιαίτερα αισθητή τη παρουσία της και στη χώρα μας με τον ‘ιό της αστυνομίας‘ να είναι μέχρι σήμερα ο αγαπημένος μας, αντίθετα με τον Cryptolocker ο οποίος, αν και πολύ πιο περίπλοκος και έξυπνος, συναντάται σπάνια. Η αγάπη του Έλληνα για την ιντερνετική πορνογραφία, χωρίς να αποβάλλουμε τα ταμπού μας προς αυτή, είναι πιθανόν ο λόγος που κάνει αυτό το ransomware τόσο δημοφιλές.

Είναι το δικό μου PC μολυσμένο;

Αν χρησιμοποιείτε Windows θα μπορούσατε και εσείς να είστε κομμάτι του botnet ή να ‘τρέχετε’ ransomware. Ένα μολυσμένο PC εμαφνίζει τα εξής συμπτώματα:

  1. Ο υπολογιστής ‘κολλάει’ ή λειτουργεί υπερβολικά αργά
  2. Οι webbanking λογαριασμοί σας εμφανίζουν logins σε χρόνους που δεν θα μπορούσατε να το κάνατε εσείς
  3. Εμφανίζονται τυχαία παράθυρα με κείμενο που έχουν εικόνα chat.
  4. Τα αρχεία σας ‘κλειδώνουν’ και σας ζητούνται χρήματα για να τα ανοίξετε εκ νέου.

Κάποιο ή όλα από αυτά τα συμπτώματά σημαίνουν πως ο υπολογιστής σας βρίσκεται σε κίνδυνο. Τι μπορείτε να κάνετε:

  • Ενημερώστε το antivirus. Μετά από την κατάσχεση των servers, ο πηγαίος κώδικάς των malware θα δοθεί στις εταιρίες antivirus, οπότε μπορείτε σίγουρα να περιμένετε κάποια ενημέρωση και για αυτό το θέμα
  • Πάρτε αντίγραφα ασφαλείας (backup) των δεδομένων σας και κυρίως των φωτογραφιών. Ακόμα και αν το cryptolocker αφαιρεθεί, δεν μπορεί κανένας να σας εγγυηθεί πως θα επιστρέψουν και τα δεδομένα σας
  • Αλλάξτε ΟΛΑ τα passwords σας. Το GOZeuS εκμεταλλεύτηκε το heartbleed bug, το μεγαλύτερο θέμα ασφαλείας που αντιμετώπισε ποτέ το web. Ακόμα και το PC σας να είναι καθαρό, καλό θα ήταν να το κάνετε και εσείς.
  • Αφού το πρόβλημα βρίσκει εφαρμογή μόνο σε windows (και υπό προϋποθέσεις MacOS) χρησιμοποιήστε κάποια από τις πολλές distros του linux.

Περα από αυτά, η υπηρεσία US-CERT δημοσιοποίησε μία λίστα με διάφορα δωρεάν εργαλεία που μπορείτε να χρησιμοποιήσετε.

 

Ποια τα επακόλουθα;

Το πρόβλημα δεν αντιμετωπίστηκε πλήρως, αλλά ένα μεγάλο σύνολο υπολογιστών του διαδικτύου είναι πλέον καθαροί. Μετά την ανακοίνωση του θέματος από το αγγλικό getsafeonline.org, το site δέχτηκε τόσες πολλές επισκέψεις από πανικοβλημένους χρήστες του διαδικτύου που μέχρι και αυτή την ώρα είναι ‘πεσμένο’. Το ίδιο συμβαίνει και με το cert.gov.uk. Για πληροφορίες επί του θέματος, μπορείτε να ανατρέξετε στη twitter σελίδα @GetSafeOnline.

Υπολογίζεται ότι πεντακόσιοι χιλιάδες με ένα εκατομμύριο χρήστες του internet έχουν μολυνθεί. Οι αρχές το προηγούμενο Σαββατοκύριακο απελευθέρωσαν τριακόσιες χιλιάδες από αυτούς κατάσχοντας όλους τους commandservers, ελέγχοντας έτσι τα bots του GOZeuS.

Εγκέφαλος αυτής της καλοστημένης απάτης ο Ρώσος καταζητούμενος πλέον από το FBI Evgeniy Mikhailovich Bogachev τον οποίο βαραίνουν κατηγορίες για hacking απάτες διαφόρων τύπων, ξέπλυμα χρήματος ακόμη και συνωμοσία linkfbi.

Σίγουρα πάντως πρόκειται για μία μεγάλη νίκη στη μάχη κατά του ηλεκτρονικού εγκλήματος μετά από καιρό.

 

Περισσότερα:

www.express.co.uk

abcnews.go.com

digitallife.gr


Διαβάστε ακόμη στο blog μας…

[metaslider id=1192]