セキュリティウォッチ Microsoft、fbiが力を合わせます。 クリップル5億ドルシタデルボットネット

Microsoft、fbiが力を合わせます。 クリップル5億ドルシタデルボットネット

ビデオ: Rick Astley - Never Gonna Give You Up (Video) (十一月 2024)

ビデオ: Rick Astley - Never Gonna Give You Up (Video) (十一月 2024)
Anonim

喜ぶ! Citadelボットネットが落ちました! かつて奴隷にされたコンピューターは無料であり、世界は正しく設定されます。 そうではありませんが、Microsoftは昨日、FBIや他の組織と提携して、既知の1, 462の独立したCitadelボットネットをオフラインにすることを発表しました。

Microsoftが主導するこのアクションは、大きな成功とされています。 FBIのリリースで、局は、Microsoftや他の企業が関与する「別々だが調整された操作で」参加したと書いています。 「FBIは、外国の法執行機関のカウンターパートに情報を提供したため、米国外にあるボットネットインフラストラクチャで自主的な行動を取ることもできました」と同局は書いています。 「FBIは、国内でボットネットに関連する裁判所の許可を受けた捜査令状も取得しました。」

テイクダウン

Microsoftは2012年にCitadelの調査を開始し、違法操作の大規模な範囲をすぐに発見しました。 彼らはプレスリリースで、シタデルが米国、ヨーロッパ、中国、インド、オーストラリアを含む90か国で500万台以上のコンピューターに感染したことを書いた。 マイクロソフトは、マルウェアが個人と企業の両方から5億ドルを盗んだ原因であると推定しています。

サーバーを停止する最初のステップは、ノースカロライナ州西部地区の米国地方裁判所で始まり、Microsoftは1, 462のCitadelボットネットと感染したコンピューター間の通信を遮断することを許可しました。

「6月5日に、Microsoftは米国元に護衛され、ボットネットからデータと証拠を押収した」とソフトウェア会社は書いた。 これには、ニュージャージーおよびペンシルバニアのデータホスティング施設のサーバーが含まれていました。

CORE SecurityのセキュリティストラテジストであるKen Pickeringは、この種の官民パートナーシップは良いことだと述べました。 「民間部門には、公共部門にはない特定のスキルと才能がある」と彼は言った。

ピカリングは、シタデルを倒すことはマイクロソフトにとっても良いことだと言い続けました。 「これらは製品のエクスプロイトであり、ユーザーベースに影響を与えています」と説明しました。

シタデルとは

SecurityWatchの定期的な読者であれば、以前にCitadelが言及されているのを見たことがあるでしょう。 おそらく、合法的に購入した広告に悪意のあるコードが含まれていたNBC.comのマルバタイジング大惨事の悪意のあるペイロードであることが最もよく知られています。

NBC攻撃の時点で、MalwarebyetsはPC Magに、CitadelはZeus Banking Trojanに基づいていると語った。 昨日公開されたテイクダウンについて、MicrosoftはCitadelのキーロギング機能と、被害者の銀行口座を侵害するためにどのように使用されたかを明確に呼びました。

「オペレーターはマルウェアを使用して被害者のオンラインバンキングの資格情報を盗み、不正な取引を行ったため、FS-ISAC、NACHA、ABA、Agariなどの金融サービス業界のリーダーは、訴訟の宣言者としてMicrosoftの民事訴訟をサポートしました」

Citadelはその多様性と設定の容易さで注目に値し、シマンテックは約3, 000ドルで購入できると書いています。 マイクロソフトが言及しているこれらの1, 462のアクティブボットネットは、互いに独立した感染したコンピューターのネットワークですが、すべて同じ(または類似の)ソフトウェアを実行しています。 うまくいけば、これにより、Citadelが最適なツールではない可能性があるという他のユーザーにメッセージが送信されます。

野生のシタデルボットネットの正確な数を特定することは困難ですが、ピカリングは楽観的でした。 「彼らは彼らの大部分を混乱させたと思う」と彼は言った。

しかし、彼はまた、多くのボットネットが米国外にあることにも注目しました。 「ボットネットの大部分はウクライナとロシアで動作しています」と、ピカリング氏は述べています。

次は何ですか

覚えておくべき重要なことは、シタデルは死んでいないということです。 「脅威の規模と複雑さのため、Microsoftとそのパートナーは、Citadelを使用してすべてのボットネットを完全に排除することを期待していません」とMicrosoftは書きました。 「しかし、このアクションによりボットネットの動作が大幅に混乱し、サイバー犯罪者がビジネスを継続し、被害者がコンピュータをマルウェアから解放できるようにするためのリスクと費用が増大することが予想されます。」

サーバーを停止するとボットネットは確実に機能しなくなりますが、Citadelボットネットを実行している組織と個人のリスクとコストを増やすことはおそらく価値があります。 ほとんどのサイバー犯罪は数字のゲームであり、多くの成功(場合によっては小さな成功)に依存してお金を稼ぎます。 攻撃方法が非常に困難または高価になりすぎると、犯罪者は革新または放棄を余儀なくされます。

最も重要な次のステップは、Citadelボットネットが後で復活できないように、感染したコンピューターからCitadelマルウェアを削除することです。 「混乱の直後、マイクロソフトは押収中に収集した脅威インテリジェンスを使用して、世界中のインターネットサービスプロバイダーおよびコンピューター緊急対応チームと連携し、コンピューターが感染した場合に迅速かつ効率的に通知します。」 すでに感染していることがわかっている場合は、エディターズチョイスMalwarebytes Anti-Malware 1.70などのマルウェア削除ツールが、コンピューターをクリーンアップするための最初の良いステップになります。

シタデルはまだ死んでいないが、マイクロソフト、FBI、および他のすべてのプレイヤーは、ただ一緒に働くことが勝利だったとすぐに指摘します。 うまくいけば、他のスーパーグループが悪者を倒そうと努力しているという、もっと良いニュース記事があります。

Microsoft、fbiが力を合わせます。 クリップル5億ドルシタデルボットネット