Un’operazione internazionale, guidata dagli Stati Uniti, ha portato alla chiusura di GameOver Zeus (GOZ), una botnet composta da migliaia di computer in tutto il mondo che ha permesso ai cybercriminali di rubare milioni di dollari ad aziende e utenti privati. Al successo della Operation Tovar ha contribuito anche Microsoft, offrendo supporto tecnico all’FBI. Con un’azione separata, sono stati inoltre sequestrati i server utilizzati per distribuire il malware Cryptolocker, con il quale veniva chiesto un riscatto alle vittime.
GameOver Zeus è una variante P2P della famiglia di malware Zeus, identificata a settembre 2011. GOZ è uno dei trojan bancari più diffusi del 2013 e, secondo i dati forniti dall’FBI, è responsabile di oltre 100 milioni di dollari di perdite. La botnet è costituita da un numero imprecisato di computer Windows (tra 500.000 e 1 milione), sui quali è stato installato un malware, ricevuto attraverso email spam o messaggi di phishing. Usando queste tecniche, i cybercriminali hanno ottenuto informazioni bancarie, come le credenziali di login, e hanno trasformato i computer in zombie, impiegati successivamente in attacchi DDoS.
Mentre le precedenti varianti di Zeus sfruttavano un’infrastruttura centralizzata di command-and-control (C&C), GameOver Zeus è invece basata su una rete decentralizzata (P2P) di host infetti, utilizzata per distribuire file di configurazione, propagare aggiornamenti e inviare i dati rubati. Le email usate come esca contenevano un link ad un sito dal quale veniva scaricato un keylogger, che registrava i tasti premuti dall’utente. GameOver Zeus include anche una funzione denominata web injects. Il codice HTML di un sito target viene modificato aggiungendo nuovi campi ai form, in cui l’utente digita le proprie informazioni personali. Attraverso i server C&C viene inoltre installato il ransomware Cryptolocker che “prende in ostaggio” i file e chiede un riscatto.
Le indagini hanno permesso di individuare diverse persone, tra cui il russo Evgeniy Mikhailovich Bogachev, ritenuto il leader della gang di cybercriminali e amministratore della botnet GameOver Zeus. Il Dipartimento di Giustizia degli Stati Uniti ha chiesto l’estradizione del 30enne di Anapa, in quanto deve essere processato per frode, hacking, cospirazione e riciclaggio di denaro.