Kaspersky Lab ha partecipato all’operazione contro il Trojan Shylock che ha colpito anche i sistemi bancari online italiani

14 lug 2014
Notizie Virus

Kaspersky Lab ha fatto parte della task force di forze dell'ordine e imprese, nata per eliminare l’infrastruttura criminale fatta di domini internet e server, volta ad attaccare i sistemi bancari online di tutto il mondo utilizzando il Trojan Shylock.

Tra l’8 e il 9 luglio 2014, le forze dell'ordine hanno distrutto il sistema che consentiva a Shylock di operare in modo efficace sequestrando i server che formavano il sistema di comando e controllo del Trojan e prendendo il controllo dei domini Shylock utilizzati nella comunicazione tra computer infetti.

L'operazione, coordinata dalla National Crime Agency del Regno Unito (NCA), ha riunito diversi partner delle forze dell'ordine e del settore privato, tra cui - oltre a Kaspersky Lab – l’Europol, l'FBI, BAE Systems Applied Intelligence, Dell SecureWorks e il GCHQ (Government Communications Headquarters) del Regno Unito, per combattere in maniera congiunta questa minaccia.

Le azioni investigative sono state condotte dal centro operativo dello European Cybercrime Centre (EC3) presso l'Europol dell’Aia. Gli investigatori provenienti dal Regno Unito (NCA), USA (FBI), Italia, Paesi Bassi e Turchia hanno unito le forze per coordinare il funzionamento dell’operazione nei rispettivi paesi in collaborazione con le controparti in Germania, Francia e Polonia. Il coordinamento attraverso l’Europol è stato determinante per distruggere i server che formavano il nucleo delle botnet, i malware e l’intera infrastruttura Shylock. Il CERT-EU (EU Computer Emergency Response Team) ha partecipato all’operazione fornendo ai colleghi informazioni importanti sui domini nocivi.

Durante l’operazione congiunta sono state scoperte diverse parti non ancora note dell’infrastruttura, consentendo immediate azioni di follow-up coordinate dal centro operativo dell’Aia.

Shylock - che deve il nome ai brani tratti dal Mercante di Venezia di Skakespeare contenuti all’interno del codice - ha infettato circa 30.000 computer in tutto il mondo che girano su Microsoft Windows. L’Intelligence ha sottolineato che Shylock si rivolge in particolar modo al Regno Unito, ma non solo, anche Stati Uniti, Italia e Turchia sono tra gli obiettivi presi di mira dal codice dannoso. Si ritiene, inoltre, che la sede operativa degli sviluppatori sia situata altrove.


Nella maggior parte dei casi le vittime vengono infettate attraverso link nocivi che, una volta cliccati, scaricano ed eseguono il malware all’insaputa dell’utente. Shylock a questo punto tenta di accedere al denaro dei conti bancari aziendali o personali e di trasferirlo ai sistemi di controllo dei criminali.

Troels Oerting, capo dell’EC3 dell’Europol, ha dichiarato:

"Lo European Cybercrime Centre (EC3) ha giocato un ruolo fondamentale nel lavoro di distruzione di questa infrastruttura criminale e siamo tutti molto soddisfatti di come sia stata condotta l’intera operazione contro un malware così sofisticato. EC3 ha fornito una piattaforma unica sulla quale operare, le sale operative dotate di infrastrutture tecniche avanzate, mezzi di comunicazione sicuri, diversi cyber-analisti e cyber-esperti.

"In questo modo siamo stati in grado di supportare gli investigatori informatici che si trovavano in prima linea coordinati dalla NCA del Regno Unito. Abbiamo lavorato a stretto contatto con l’FBI degli Stati Uniti e con i colleghi provenienti da Italia, Turchia e Olanda, e attraverso dei collegamenti virtuali anche con le cyber-unit in Germania, Francia e Polonia.

"E’ stato un piacere per me far parte di un’operazione di cooperazione internazionale tra forze di polizia e i pubblici ministeri appartenenti a diversi paesi, nella quale abbiamo avuto modo di dimostrare la nostra abilità di reagire rapidamente alle minacce informatiche all’interno e al di fuori dell'UE. E’ un altro passo verso la giusta direzione sia per le forze dell'ordine che per i pubblici ministeri dell’UE e ringrazio tutti i soggetti coinvolti per il loro grande impegno e dedizione. Un particolare ringraziamento va a Kaspersky Lab, che ha contribuito in modo significativo al buon esito dell'operazione, con la quale continueremo a cooperare per questo e per altri casi anche in futuro".


Andy Archibald, Deputy Director of the NCA’s National Cyber Crime Unit del Regno Unito, ha dichiarato:

"La NCA ha affrontato in prima persona questa minaccia informatica rivolta ad aziende e ai privati di tutto il mondo. Questa fase dell’attività è destinata ad avere un effetto significativo sull’infrastruttura Shylock ed è un ottimo esempio di come, attraverso le collaborazioni con diversi settori che vanno anche oltre i confini nazionali, sia possibile combattere la criminalità informatica".

Sergey Golovanov, Principal Security Researcher di Kaspersky Lab, che ha fornito il servizio di threat intelligence e monitorato l'attività del malware dell’operazione a livello globale, ha commentato:

"Le campagne di frode bancaria non sono più dei casi isolati. Abbiamo visto un aumento significativo di questo tipo di operazioni dannose. Proprio nel 2013, infatti, il numero di attacchi informatici che coinvolgono i malware progettati per rubare dati finanziari è aumentato del 27,6% raggiungendo i 28,4 milioni. Nella nostra missione di lotta contro la criminalità informatica, forniamo informazioni sulle minacce alle forze dell'ordine di tutto il mondo e cooperiamo con le organizzazioni internazionali come l’Europol. Un’azione a livello globale porta sempre risultati positivi. L’operazione contro il malware Shylock ne è un esempio."
______________________________________________________________________
Coloro che optano per gli aggiornamenti automatici del sistema operativo - in grado di garantire ai computer infettati da malware come Shylock di essere ripuliti automaticamente dopo un riavvio del sistema – non devono adottare alcuna azione in questo momento. Coloro che non optano per gli aggiornamenti automatici, o che vorrebbe saperne di più su come controllare i computer che girano su Windows e rimuovere le infezioni, possono trovare informazioni a questo indirizzo http://support.microsoft.com/gp/cu_sc_virsec_master.

E’ possibile ottenere dei consigli sulla sicurezza di Internet su Cyber Streetwise e Get Safe Online.


 

 CONDIVIDI