Vidéo: Automated investigations in Microsoft Defender ATP (Novembre 2024)
Réjouir! Le botnet Citadel est tombé! Les ordinateurs qu’il avait une fois réduits en esclavage sont gratuits, et le monde sera réglé comme il se doit. Pas tout à fait, mais Microsoft a annoncé hier la signature d’un partenariat avec le FBI et d’autres organisations pour mettre hors ligne 1 462 réseaux de zombies Citadel connus et indépendants.
L'action, dirigée par Microsoft, est considérée comme un succès majeur. Dans une publication du FBI, le bureau a écrit qu'ils participaient "à des opérations distinctes mais coordonnées" impliquant Microsoft et d'autres sociétés. "Le FBI a fourni des informations à ses homologues étrangers chargés de l'application de la loi afin qu'ils puissent également prendre des mesures volontaires concernant l'infrastructure de réseaux de zombies situés en dehors des États-Unis", a écrit le bureau. "Le FBI a également obtenu et exécuté des mandats de perquisition autorisés par le tribunal dans le pays liés aux botnets."
Le Takedown
Microsoft a commencé son enquête sur Citadel en 2012 et a rapidement découvert l'ampleur de l'opération illégale. Dans un communiqué de presse, ils ont écrit que Citadel avait infecté plus de cinq millions d'ordinateurs dans 90 pays, dont les États-Unis, l'Europe, la Chine, l'Inde et l'Australie. Microsoft estime que le malware est responsable du vol d'un demi-milliard de dollars d'individus et d'entreprises.
La première étape de la suppression des serveurs a débuté devant le tribunal américain du district occidental de la Caroline du Nord, qui a autorisé Microsoft à interrompre les communications entre 1 462 réseaux de zombies Citadel et les ordinateurs infectés.
"Le 5 juin, Microsoft, escorté par les US Marshals, a saisi des données et des preuves provenant des réseaux de zombies", a écrit l'éditeur de logiciels. Cela incluait les serveurs des installations d'hébergement de données du New Jersey et de la Pennsylvanie.
Ken Pickering, stratège en sécurité chez CORE Security, a déclaré que ce type de partenariat public-privé était une bonne chose. "Certaines compétences et certains talents du secteur privé ne font pas partie du secteur public", a-t-il déclaré.
Pickering a poursuivi en affirmant que supprimer Citadel était également bénéfique pour Microsoft. "Ce sont des exploits de leur produit et affectent leur base d'utilisateurs", a-t-il expliqué.
Qu'est-ce que la citadelle?
Si vous êtes un lecteur assidu de SecurityWatch, vous avez probablement déjà vu Citadel déjà mentionné. Il est probablement mieux connu pour être la charge malveillante de la débâcle malveillante de NBC.com, où une annonce achetée légalement contenait du code malveillant.
Au moment de l'attaque de la NBC, Malwarebyets a déclaré à PC Mag que Citadel était basée sur le cheval de Troie Zeus Banking. Dans le communiqué publié hier au sujet de la suppression, Microsoft a spécifiquement appelé les capacités de saisie de clés de Citadel et son utilisation pour compromettre les comptes bancaires de la victime.
"Parce que les opérateurs utilisaient les logiciels malveillants pour voler les informations d'identification bancaires des victimes et effectuer des transactions frauduleuses, les leaders du secteur des services financiers, dont FS-ISAC, NACHA, ABA et Agari, ont soutenu le procès civil de Microsoft en servant de déclarants dans cette affaire", a écrit Microsoft.
Citadel est remarquable pour sa diversité et sa facilité d’installation, et Symantec écrit qu’elle peut être achetée au prix de 3 000 dollars environ. Ces 1 462 réseaux de zombies actifs mentionnés par Microsoft sont des réseaux d'ordinateurs infectés indépendants les uns des autres mais exécutant tous le même logiciel, ou un logiciel similaire. Espérons que cela enverra un message à d’autres, ce qui dérangerait que Citadel ne soit pas l’outil de choix.
Bien qu'il soit difficile de déterminer le nombre exact de botnets Citadel à l'état sauvage, Pickering était optimiste. "Je pense qu'ils ont perturbé une grande partie d'entre eux", a-t-il déclaré.
Cependant, il a également noté que de nombreux réseaux de zombies sont situés en dehors des États-Unis. "Une grande partie des réseaux de zombies opèrent en Ukraine et en Russie", a déclaré Pickering.
Et après
La chose importante à retenir est que Citadel n'est pas morte. "En raison de la taille et de la complexité de la menace, Microsoft et ses partenaires ne s'attendent pas à éliminer complètement tous les réseaux de zombies utilisant Citadel", a écrit Microsoft. "Cependant, on s'attend à ce que cette action perturbe considérablement le fonctionnement des réseaux de zombies, rendant les cybercriminels plus risqués et plus coûteux de continuer à faire des affaires et permettant aux victimes de libérer leur ordinateur du logiciel malveillant."
Certes, détruire les serveurs a paralysé le botnet, mais augmenter le risque et les coûts pour les organisations et les utilisateurs des réseaux de zombies Citadel est probablement plus utile. La plupart des actes de cybercriminalité sont un jeu de chiffres, qui repose sur de nombreux succès, parfois modestes, pour gagner de l'argent. Lorsqu'une méthode d'attaque devient trop difficile ou trop chère, les criminels sont obligés d'innover ou d'abandonner.
La prochaine étape la plus importante consiste à supprimer le logiciel malveillant Citadel des ordinateurs infectés afin que les réseaux de zombies Citadel ne puissent pas être ressuscités ultérieurement. "Immédiatement après la perturbation, Microsoft utilisera les informations sur les menaces recueillies lors de la saisie pour collaborer avec les fournisseurs de services Internet et les équipes de secours en cas d'urgence informatique du monde entier afin d'avertir les utilisateurs rapidement et efficacement si leur ordinateur est infecté", a écrit Microsoft. Si vous savez déjà que vous avez été infecté, des outils de suppression des logiciels malveillants tels que notre Editors 'Choice Malwarebytes Anti-Malware 1.70 seraient une bonne première étape pour nettoyer votre ordinateur.
Même si Citadel n'est pas vraiment mort, Microsoft, le FBI et tous les autres joueurs s'empressent de souligner que le simple fait de travailler ensemble était une victoire. Espérons que nous aurons plus de bonnes nouvelles à propos d'autres super-groupes travaillant pour éliminer les méchants.
