Автор банковского трояна Zeus объявлен в розыск

    Вчера стало известно, что правоохранительные органы США и Министерство юстиции сообщили о проведении специальной операции по выведению из строя ботнета Zeus Gameover. Эта последняя модификация универсального вредоносного банковского инструмента Zeus использует структуру P2P пиров для организации работы своего ботнета. Модификация появилась in-the-wild в середине 2011 г. получила название Gameover. В новой версии вредоносной программы авторы перешли на использование системы генерации доменных имен DGA и P2P, что существенно усложняет выведение из строя такого ботнета.



    Об активности Zeus Gameover писали уже многие антивирусные и security-компании, финансовый ущерб пользователей от действий мошенников огромен и может исчисляться десятками и сотнями миллионов долларов. По оценке ФБР только с помощью модификации Gameover злоумышленникам удалось украсть более $100 млн. По информации KrebsOnSecurity — портала, который близко взаимодействует с правоохранительными органами, в операции «Tovar», по разрушению деятельности ботнета, участвовали ФБР, Европол, а также различные security-компании: CrowdStrike, Dell, Symantec, Trend Micro и McAfee.

    Losses attributable to GameOver Zeus are estimated to be more than $100 million.

    Кроме самой операции по выведению ботнета из строя, правоохранительные органы объявили в розыск предполагаемого автора оригинальной вредоносной программы Zeus, который уже давно получил широкую известность под псевдонимом Slavik. Им оказался выходец из РФ. Документы, связанные с гражданским иском, были выложены на официальном сайте.



    Как отмечается в релизе FBI, упомянутом выше, проведенные исследования показали, что на компьютерах, зараженных Zeus Gameover, часто обнаруживалась другая опасная вредоносная программа, известная как Cryptolocker. Он получил известность как самый опасный вымогатель-шифровальщик, поскольку шифрует файлы пользователя и использует распределенную архитектуру для получения ключа расшифровки (ключ можно получить только от самих злоумышленников). За получение ключа и расшифровку файлов злоумышленники вымогали у пользователя деньги. Операция «Tovar» была направлена и на разрушение структуры Cryptolocker.

    ESET NOD32

    162,96

    Компания

    Поделиться публикацией
    Комментарии 18
      +8
      Так и вижу, как главный этой операции выбирал её название — взял первое попавшееся слово в газете\словаре\витрины :D
        +1
        Tovar poluchen. Dengi doval vperyod.
        +4
        О, «Russian CyberBratva»
          0
          «TEMP SPECIAL»
            +3
            Кто не знает, этот автор еще и Cryptolocker сделал. Это такая штука, которая шифрует все ваши файлы публичным ключом, который получает с сервера, а приватный, естественно, остается на сервере, а потом требует перевести биткоины для расшифровки, причем все в автоматическом режиме. Сайт этой штуки расположен в Tor (хотя и есть зеркало на домене .kz, если не ошибаюсь). Причем, чем больше времени проходит, тем больше нужно заплатить (минимум — пол биткоина, если не ошибаюсь, а максимум — 7). В России эта штука не распространена (у нас вместо этого winlocker), а вот в Европе и США от этой штуки многие пострадали.

            Знакомому пришлось заплатить аж два раза, т.к. после первого раза его компьютер случайно выключился и ссылка для расшифровки не сохранилась.
              0
              Ну винлокер всё же данные не шифрует, его удалить достаточно просто.
                +3
                меня одного интересует как они ФИО получили?
                  +1
                  Here's a tl;dr of the methodology used:

                  (for Gameover Zeus)
                  • The FBI found the server used as a C&C for the botnet, and requested a copy of the server image, which they obtained.
                  • The FBI discovered the email address for the botnet «leader» from a «Confidential Human Source» (CHS), and then issued a search warrant for all accesses to that email address
                  • They then cross-correlated the email access logs with the access logs to the botnet C&C and found thousands of IP Address and User-Agent string matches.
                  • The suspect was linked to the alias «Pollingsoon» after the FBI received a «historical copy» of the CardingWorld forum, and cross-correlated accesses to the same IP addresses mentioned previously.
                  • This forum user claimed in private messages to be the author of Zeus.

                  (for CryptoLocker)
                  • FBI found and tapped a US server acting as C&C for CryptoLocker (note: not sure how they did this — wasn't everything through Tor?)
                  • Using this tap, they discovered connections to a UK-based server also acting as a Cryptolocker C&C
                  • Cross-correlating the access logs to this server with the email access logs before found numerous matches.


                  www.reddit.com/r/netsec/comments/274v9d/usdoj_us_leads_multinational_action_against/chxgma2
                  www.justice.gov/opa/documents/dgzc/declaration.pdf
                    +1
                    Странный этот tl;dr. Не понятно, зачем держать малварные сервера в USA и UK — там, где до них проще всего добраться американским спец.службам. Не понятно, как они добрались до Tor-сервера (хотя тут есть варианты — например через дыру в софте сервера — но это как раз один из самых любопытных моментов и он не раскрыт). В общем, такое впечатление, что основным инструментом раскрытия дела послужил вполне традиционный и ни разу не айтишный инструмент: стукач (которого они скромно назвали CHS), а потом все имеющиеся свидетельства аккуратно подогнали под требуемый результат.
                    +1
                    Из About.
                    –5
                    Американцы качают деньги со всего мира со своим долларом, а наши хакеры качают у них. Так что автор молодец:D
                      –1
                      Так всё-таки, Женя или Саша?
                      image
                        0
                        Россия может осудить по собственным законам, тем более что он их действительно нарушил, что надо доказать. Ну и Россия СВОИХ граждан не выдает.
                        –3
                        Ну и что ему американцы пришить-то смогут? Если он по российским законам не пройдет (а заметьте, биткоин у нас не котируется, так что убытки от его действий будут считаться только во времени или потерянных данных), то его не выдадут.
                          0
                          Его не выдадут в любом случае. РФ не выдает своих граждан никому.
                          +6
                          Вы понимаете, что только что произошло? Хакер всех времен и народов был ВЫЧИСЛЕН ПО IP.
                            0
                            Ну а результат какой, кто победил?
                              –1
                              Только мне одному кажется, что пиндосы просто сделали очередной вброс чтобы все думали, что они всемогущие? Новость случайно не Псаки предоставила?

                              Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                              Самое читаемое