Walka z trojanem bankowym Shylock

Trwa globalna akcja organów ścigania i firm, mająca na celu zatrzymanie szkodliwego programu Shylock. W ramach operacji zamknięto domy internetowe oraz serwery, które stanowiły podstawę zaawansowanej infrastruktury cyberprzestępczej wykorzystywanej do atakowania systemów bankowości online na całym świecie.

Trwa nieustanna wojna z trojanem bankowym Shylock
Trwa nieustanna wojna z trojanem bankowym Shylock 123RF/PICSEL

Organy ścigania podjęły działania mające na celu zakłócenie systemu, na którym bazowały ataki trojana Shylock. W tym celu konieczne było odłączenie serwerów stanowiących system kontroli trojana oraz zamknięcie domen, których cyberprzestępcy używali do utrzymywania komunikacji z zainfekowanymi komputerami.

Operacja była koordynowana przez brytyjską agencję National Crime Agency (NCA) i uczestniczyły w niej zarówno organy ścigania, jak i prywatne firmy. W akcji - poza Kaspersky Lab - brały udział następujące organizacje: Europol, FBI, BAE Systems Applied Intelligence, Dell SecureWorks oraz komórka brytyjskiego wywiadu zajmująca się nasłuchem radiowym (GCHQ).

Większość działań dochodzeniowych przeprowadzono w europejskim centrum do walki z cyberprzestępczością (EC3) działającym w ramach Europolu w Hadze. Śledczy z Wielkiej Brytanii (NCA), Sanów Zjednoczonych (FBI), Włoch, Holandii i Turcji połączyli siły, by skoordynować operację we własnych krajach, przy współudziale agencji z Niemiec, Francji i Polski. Koordynacja działań przez Europol była kluczowa do wyłączenia serwerów stanowiących trzon cyberprzestępczej infrastruktury trojana Shylock. W działaniach tych uczestniczyła także organizacja CERT-EU.

W trakcie przeprowadzania operacji odkryto kilka nieznanych wcześniej elementów infrastruktury trojana, co pozwoliło na zainicjowanie kolejnych działań koordynowanych przez centrum operacyjne w Hadze.

Shylock zainfekował przynajmniej 30 000 komputerów działających pod kontrolą systemu Windows na całym świecie. Dochodzenie ujawniło, że na celowniku cyberprzestępców znajdowała się przede wszystkim Wielka Brytania, jednak ataki zarejestrowano także w Stanach Zjednoczonych, Włoszech i Turcji.

W typowym scenariuszu ataku użytkownik jest nakłaniany do kliknięcia szkodliwego odnośnika, po czym trafia do zasobu online, z którego ukradkowo pobierany jest trojan. Po instalacji w systemie Shylock szuka informacji pozwalających na uzyskanie dostępu do pieniędzy przechowywanych na firmowych oraz prywatnych kontach bankowych i przesyła je do cyberprzestępców.

- Jesteśmy bardzo zadowoleni z wyniku operacji skierowanej przeciwko zaawansowanemu szkodliwemu programowi, która pozwoliła zatrzymać całą cyberprzestępczą infrastrukturę. Centrum EC3 dostarczyło unikatową platformę oraz zaplecze biurowe wyposażone w najnowocześniejsze metody bezpiecznej komunikacji, a także zapewniło śledczym dostęp do czołowych ekspertów i analityków z branży cyberbezpieczeństwa. W ten sposób byliśmy w stanie wspierać śledczych koordynowanych przez brytyjską agencję NCA i prowadzić prawdziwie międzynarodową operację, z udziałem FBI, a także jednostek z Włoch, Turcji i Holandii oraz specjalnych zespołów z Niemiec, Francji i Polski - powiedział Troels Oerting, szef centrum EC3 działającego w ramach Europolu.

- Kampanie obejmujące oszustwa bankowe nie są już małymi, jednorazowymi akcjami cyberprzestępców. Obserwujemy duży wzrost tego typu działań - tylko w 2013 r. liczba cyberataków wykorzystujących szkodliwe programy zaprojektowane do kradzieży danych finansowych wzrosła o 27,6% i wyniosła 28,4 mln. Aby wspierać organizacje takie jak Europol w walce z cyberprzestępczością, dostarczamy szczegółowe analizy szkodliwych programów i monitorujemy aktywność zagrożeń na całym świecie. Globalne działania przynoszą świetne rezultaty, co doskonale widać na przykładzie operacji wycelowanej w Shlylocka - komentuje Siergiej Golowanow, główny badacz bezpieczeństwa z Kaspersky Lab, który dokonał analizy szkodliwego programu i śledził jego aktywność na całym świecie.

INTERIA.PL/informacje prasowe
Masz sugestie, uwagi albo widzisz błąd?
Dołącz do nas