Kaspersky Lab participa, juntamente com forças da ordem e empresas, na campanha contra o malware financeiro Shylock

14 jul 2014
Notícias de Vírus

  • A operação foi coordenada pela National Crime Agency do Reino Unido (NCA) e reuniu forças da ordem e do sector privado, incluindo – além da Kaspersky Lab – a Europol, o FBI, a BAE Systems Applied Intelligence, a Dell SecureWorks e a GCHQ no Reino Unido
  • Shylock - chamado assim porque o seu código contém extractos da obra de Shakespeare “O mercador de Veneza” – infectou pelo menos 30 mil equipamentos com sistema operativo Microsoft Windows
  • Os serviços de Inteligência sugerem que o Shylock tinha como alvo preferencial o Reino Unido mais do que a qualquer outro país. No entanto, os EUA, a Itália e a Turquia também estão na mira deste código malicioso

A Kaspersky Lab fez parte da aliança criada entre forças da ordem e empresas de todo o mundo para combater os domínios de Internet e os servidores que formam o núcleo de uma infra-estrutura cibercriminosa avançada, cujo objectivo era atacar os sistemas de banca online em todo o mundo através do Trojan Shylock.

Nos passados dias 8 e 9 de Julho de 2014, as forças da ordem intervieram para desactivar o sistema do qual o Shylock dependia para funcionar com eficácia. Esta operação incluiu a tomada de controlo sobre os servidores que compõem o sistema de comando e controlo (C&C) do Trojan, assim como dos domínios que o Shylock utiliza para comunicar com os equipamentos infectados.

A operação, coordenada pela National Crime Agency do Reino Unido (NCA), reuniu as forças da ordem e do sector privado, incluindo – além da Kaspersky Lab – a Europol, o FBI, a BAE Systems Applied Intelligence, a Dell SecureWorks e a GCHQ (Government Communications Headquarters) no Reino Unido para combater conjuntamente a ameaça.

Foram levadas a cabo acções de investigação a partir do Centro Europeu de Cibercrime (EC3) de Europol em Haya. Investigadores do Reino Unido (NCA), dos EUA (FBI), da Itália, da Holanda e da Turquia uniram-se para coordenar a operação nos seus respectivos países, em conjunto com os seus homólogos da Alemanha, França e Polónia. A coordenação da Europol contribuiu para derrubar os servidores que compunham o núcleo das redes bots, malware e a infra-estrutura do Shylock. O CERT-UE (Equipa de Resposta a Emergências Informáticas da UE) participou no desmantelamento desta perigosa ameaça e na distribuição de informação sobre os domínios maliciosos junto dos seus pares.

Durante a intervenção, foram descobertas várias partes até agora desconhecidas da infra-estrutura, permitindo que as acções de monitorização se iniciassem de imediato e fossem coordenadas a partir do centro de operações em Haya. O Shylock - chamado assim porque o seu código contém extractos da obra de Shakespeare “O mercador de Veneza” – infectou pelo menos 30 mil equipamentos com sistema operativo Microsoft Windows. Os serviços de Inteligência sugerem que o Shylock teve como alvo preferencial o Reino Unido, mais do que qualquer outro país; no entanto, os EUA, a Itália e a Turquia também estavam na mira deste código malicioso. Acredita-se que os presumíveis promotores do ataque estejam sediados noutros países que não estes.

As vítimas geralmente eram infectadas ao clicar em links maliciosos que pediam ao utilizador que descarregasse e executasse o malware sem o seu conhecimento. O Shylock procurava aceder aos fundos depositados em contas bancárias pessoais ou de empresas e transferi-los para os criminosos.

Troels Oerting, chefe de EC3 na Europol, afirmou: "O centro EC3 está muito satisfeito com esta operação contra o malware, na qual representou um papel crucial para acabar com a infra-estrutura criminosa. O EC3 proporcionou uma plataforma única e salas operacionais dotadas de infra-estrutura e sistemas de comunicação seguros, assim como de ciber-analistas e peritos em segurança informática. Desta forma, fomos capazes de apoiar os ciber-analistas, coordenados pela NCA no Reino Unido, e trabalhar com a presença física do FBI dos Estados Unidos e dos seus colegas da Itália, Turquia e Holanda, com ligações virtuais às ciber-unidades na Alemanha, França e Polónia”.

"Foi um prazer ver a cooperação internacional entre polícias e agentes da autoridade de muitos países e, mais uma vez, pusemos à prova a nossa capacidade de reacção rápida perante as ciber-ameaças. E mais um passo na direcção correcta para fazer cumprir a lei e agradeço a todos os envolvidos o seu grande compromisso e dedicação. Um agradecimento concreto vai para a Kaspersky Lab, que contribuiu de uma forma significativa para o êxito da operação – sendo que a nossa cooperação continuará a crescer neste e em futuros casos".

Andy Archibald, director Adjunto da Unidade Nacional de Cibercrime da autoridade nacional da concorrência no Reino Unido, afirma: "A NCA está a tomar a iniciativa de fazer frente às ciber-ameaças dirigidas a empresas e particulares de todo o mundo. Esta fase da actividade destina-se a ter um efeito significativo sobre a infra-estrutura do Shylock e demonstra como estamos a usar as alianças entre sectores e para além das fronteiras nacionais para reduzir os crimes informáticos ".

Sergey Golovanov, analista de Segurança da Kaspersky Lab, que presta o serviço de inteligência de ameaças e que foi responsável pela monitorização da actividade do malware no seu funcionamento global, sublinhou: "As campanhas de fraude bancária já não são casos excepcionais. Temos visto um aumento significativo neste tipo de operações maliciosas. Só em 2013, o número de ciber-ataques que envolveram malware concebido para roubar dados financeiros aumentou 27,6% até chegar aos 28,4 milhões. Para lutar contra o cibercrime, proporcionamos informação sobre ameaças aos organismos policiais de todo o mundo e cooperamos com organizações internacionais como a Europol. Esta acção global traz resultados positivos - um exemplo disso mesmo é a operação contra o malware Shylock".

Os que optem pelas actualizações automáticas do sistema operativo - que podem assegurar que os computadores infectados com malware como o Shylock sejam automaticamente limpos depois de reiniciado o sistema - não necessitam de fazer nada neste momento. Os que não optem pelas actualizações automáticas o que gostariam de poder verificar o seu sistema para ver se se encontra infectado, pode ir a: support.microsoft.com/gp/cu_sc_virsec_master.

Links de utilidade:

newsroom.kaspersky.eu/pt/home
securelist.com/analysis/monthly-spam-reports/63835/spam-in-may-2014

© 1997 - 2014 Kaspersky Lab

Todos os direitos reservados.