Kaspersky Lab insieme a INTERPOL, forze dell’ordine e aziende IT per bloccare la botnet Simda

redazione

 

In una serie di azioni simultanee condotte il 9 aprile, dieci server di comando e controllo sono stati colpiti nei Paesi Bassi, oltre ad alcuni server situati negli Stati Uniti, Russia, Lussemburgo e Polonia. L’operazione ha coinvolto funzionari della Dutch National High Tech Crime Unit (NHTCU) dei Paesi Bassi, il Federal Bureau of Investigation (FBI) degli Stati Uniti, la Police Grand-Ducale Section Nouvelles Technologies del Lussemburgo e il Dipartimento del Cybercrimine “K” del Ministero dell’Interno russo, supportati dall’INTERPOL National Central Bureau di Mosca.

 

Questa azione congiunta dovrebbe portare all’interruzione dell’operazione botnet, poichè comporterà l’incremento di costi e rischi che i cybercriminali si troveranno ad affrontare qualora decidessero di portare avanti questo business illegale e impedirà ai computer delle vittime di essere infettati.

 

Come funziona Simda:

  • Simda è un malware “pay-per-install” usato per distribuire software illegali e diversi tipi di malware, tra cui quelli in grado di rubare credenziali finanziarie. Il modello a pagamento permette ai criminali informatici di guadagnare denaro vendendo l’accesso ai PC infetti ad altri criminali intenzionati a installare su di essi ulteriori programmi nocivi.
  • Simda viene diffuso attraverso numerosi siti infetti che reindirizzano gli utenti verso kit di exploit. I criminali compromettono siti o server legittimi in modo che le pagine visualizzate dagli utenti includano codici dannosi. Nel momento in cui gli utenti aprono queste pagine, il codice nocivo carica il contenuto dal sito exploit e infetta il PC non aggiornato.
  • La botnet Simda è stata trovata in più di 190 Paesi, tra cui i più colpiti sono stati gli Stati Uniti, il Regno Unito, la Russia, il Canada e la Turchia.
  • Pensiamo abbia infettato 770.000 computer in tutto il mondo, con un numero più alto di vittime negli Stati Uniti (più di 90.000 nuove infezioni dall’inizio del 2015).
  • Simda risulta attiva già da qualche anno ed è stata via via perfezionata per sfruttare ogni vulnerabilità e per rilevare le nuove e più complesse versioni che vengono generate e distribuite ogni ora. Al momento, i virus rilevati da Kaspersky Lab contengono più di 260.000 file eseguibili appartenenti a differenti versioni del malware Simda.

L’indagine prosegue allo scopo di identificare gli attori che si nascondono dietro alla botnet Simda e che hanno applicato alla loro attività criminale un modello di business volto a far pagare i partner affiliati.

“Il successo di questa operazione evidenzia il valore e la necessità di partnership che coinvolgano forze dell’ordine nazionali e internazionali e le aziende private nella lotta alle minacce globali del crimine informatico”, ha commentato Sanjay Virmani, Director dell’INTERPOL Digital Crime Centre. “L’operazione ha inferto un colpo importante alla botnet Simda. L’INTERPOL continuerà il suo lavoro di sostegno ai Paesi membri nella protezione dei cittadini contro i cybercriminali e nell’identificazione di altre minacce emergenti”.

“Le botnet sono network distribuiti a livello globale e fermarle è solitamente un compito arduo. È per questo motivo che è essenziale un’attività congiunta da parte del settore privato e pubblico. Ogni contributo è importante in un progetto condiviso. In questo caso, il ruolo di Kaspersky Lab è stato quello di fornire un’analisi tecnica della bot, di registrarne la telemetria della botnet grazie al Kaspersky Security Network e individuare la strategia migliore da seguire”, ha aggiunto Vitaly Kamluk, Principal Security Researcher di Kaspersky Lab, attualmente operante presso l’INTERPOL.

Come risultato dell’operazione, i server di comando e controllo usati dai criminali per comunicare con le macchine infette sono stati bloccati. Tuttavia, è importante notare che alcune infezioni sono ancora in corso. Per aiutare le vittime a eliminare l’infezione dai loro PC, Kaspersky Lab ha realizzato il sito CheckIP che consente agli utenti di scoprire se il proprio indirizzo IP sia stato preso di mira dai server di comando e controllo di Simda, il che può implicare un’infezione in corso o già realizzata. Questi indirizzi IP sono disponibili come risultato dell’operazione di bloccaggio dei server.

Se l’indirizzo IP di un utente viene riconosciuto, non significa necessariamente che il sistema sia infetto – in alcuni casi un indirizzo IP potrebbe essere utilizzato da diversi PC che appartengono allo stesso network (ad esempio, potrebbero essere connessi allo stesso provider di Internet). Tuttavia, è giusto approfondire e scansionare il sistema con una soluzione di sicurezza completa, come la versione gratuita del Kaspersky Security Scan o la versione di prova del Kaspersky Internet Security.