La Operación Tovar es una operación de colaboración internacional llevada a cabo por agencias de aplicación de la ley de varios países contra la botnet Gameover ZeuS , que los investigadores creen que se ha utilizado en el fraude bancario y la distribución del ransomware CryptoLocker . [1]
Los participantes incluyen el Departamento de Justicia de EE. UU. , Europol , el FBI y la Agencia Nacional contra el Crimen del Reino Unido , el Servicio de Policía de Sudáfrica , junto con varias empresas de seguridad e investigadores académicos, [2] [3] incluidos Dell SecureWorks , Deloitte Cyber Risk Services , microsoft Corporation , Abuse.ch , Afilias , F-Secure , de Level 3 Communications , McAfee , Neustar , Shadowserver , AnubisNetworks, Symantec, Heimdal Security , Sophos y Trend Micro , e investigadores académicos de la Carnegie Mellon University , el Georgia Institute of Technology , [4] VU University Amsterdam y Saarland University . [2]
Otras organizaciones encargadas de hacer cumplir la ley involucradas incluyen la Policía Federal Australiana ; la Policía Nacional de los Países Bajos ' Unidad Nacional de Delitos de Alta Tecnología ; el Centro Europeo de Ciberdelincuencia (EC3); Bundeskriminalamt de Alemania ; Policía Judicial de Francia ; Polizia Postale e delle Comunicazioni de Italia ; De Japón Agencia de Policía Nacional ; Gran Ducado de la Policía de Luxemburgo ; Policía de Nueva Zelanda ; la Real Policía Montada de Canadá ; y de Ucrania Ministerio del Interior ' División de Lucha contra la delincuencia en el ciberespacio . El Servicio de Investigación Criminal de Defensa del Departamento de Defensa de los Estados Unidos también participó en la investigación. [4]
A principios de junio de 2014, el Departamento de Justicia de EE. UU. Anunció que la Operación Tovar había logrado cortar temporalmente la comunicación entre Gameover ZeuS y sus servidores de comando y control . [1] [2] [4]
Los delincuentes intentaron enviar una copia de su base de datos a un lugar seguro, pero fue interceptada por agencias que ya controlaban parte de la red. El ruso Evgeniy Bogachev , alias "lucky12345" y "slavik", fue acusado por el FBI estadounidense de ser el cabecilla de la banda detrás de Gameover Zeus y Cryptolocker. La base de datos indica la escala del ataque y hace posible el descifrado de archivos CryptoLocked.
En agosto de 2014, las empresas de seguridad involucradas en el cierre, Fox-IT y FireEye , crearon un portal, llamado Decrypt Cryptolocker, [5] que permite a cualquiera de las 500.000 víctimas encontrar la clave para desbloquear sus archivos. Las víctimas deben enviar un archivo cifrado sin información confidencial, lo que permite a los desbloqueadores deducir qué clave de cifrado se utilizó. Es posible que no todos los archivos CryptoLocked puedan ser descifrados, ni los archivos cifrados por un ransomware diferente. [6] [7]
El análisis de los datos que estuvieron disponibles después de la desconexión de la red indicó que alrededor del 1,3% de los infectados habían pagado el rescate; muchos habían podido recuperar archivos de los que se había hecho una copia de seguridad, y se cree que otros han perdido grandes cantidades de datos. No obstante, se cree que la banda extorsionó alrededor de US $ 3 millones. [6]
Ver también
- Botnet de Cutwail
- Conficker
- Mando y control (malware)
- Gameover ZeuS
- Cronología de virus y gusanos informáticos
- Pequeño troyano bancario
- Torpig
- Zeus (malware)
- Zombie (informática)
Referencias
- ↑ a b Darlene Storm (2 de junio de 2014). "Wham bam: la operación global Tovar golpea el ransomware CryptoLocker y la botnet GameOver Zeus" . Mundo de la informática. Archivado desde el original el 3 de julio de 2014.
- ^ a b c Brian Krebs (2 de junio de 2014). " ' Operación Tovar' Objetivos 'Gameover' ZeuS Botnet, CryptoLocker Scourge" . Krebs sobre seguridad.
- ^ John E. Dunn (2 de junio de 2014). "Operation Tovar desconecta el malware Gameover Zeus y CryptoLocker, pero solo durante dos semanas" . TechWorld.
- ^ a b c "EE.UU. lidera la acción multinacional contra la botnet" Gameover Zeus "y el ransomware" Cryptolocker ", carga al administrador de la botnet" . Departamento de Justicia de Estados Unidos. 2 de junio de 2014.
- ^ Descifre el sitio web de Cryptolocker Archivado el 7 de agosto de 2014 en Wayback Machine.
- ^ a b BBC News: Víctimas de Cryptolocker para recuperar archivos de forma gratuita, 6 de agosto de 2014
- ↑ FireEye: Your Locker of Information for Cryptolocker Decryption, 6 de agosto de 2014