Un’operazione globale coordinata dall’INTERPOL Global Complex for Innovation di Singapore, con la cooperazione di importanti aziende It tra cui Kaspersky Lab, Microsoft, Trend Micro, il Japan’s Cyber Defence Institute e le forze dell’ordine, ha permesso di bloccare la botnet criminale chiamata Simda – un network di migliaia di PC infetti in tutto il mondo.
In una serie di azioni simultanee condotte il 9 aprile, dieci server di comando e controllo sono stati colpiti nei Paesi Bassi, oltre ad alcuni server situati negli Stati Uniti, Russia, Lussemburgo e Polonia. L’operazione ha coinvolto funzionari della Dutch National High Tech Crime Unit (NHTCU) dei Paesi Bassi, il Federal Bureau of Investigation (FBI) degli Stati Uniti, la Police Grand-Ducale Section Nouvelles Technologies del Lussemburgo e il Dipartimento del Cybercrimine “K” del Ministero dell’Interno russo, supportati dall’INTERPOL National Central Bureau di Mosca.
Questa azione congiunta dovrebbe portare all’interruzione dell’operazione botnet, poichè comporterà l’incremento di costi e rischi che i cybercriminali si troveranno ad affrontare qualora decidessero di portare avanti questo business illegale e impedirà ai computer delle vittime di essere infettati.
Simda è un malware “pay-per-install” usato per distribuire software illegali e diversi tipi di malware, tra cui quelli in grado di rubare credenziali finanziarie. Il modello a pagamento permette ai criminali informatici di guadagnare denaro vendendo l’accesso ai PC infetti ad altri criminali intenzionati a installare su di essi ulteriori programmi nocivi.
Simda viene diffuso attraverso numerosi siti infetti che reindirizzano gli utenti verso kit di exploit. I criminali compromettono siti o server legittimi in modo che le pagine visualizzate dagli utenti includano codici dannosi. Nel momento in cui gli utenti aprono queste pagine, il codice nocivo carica il contenuto dal sito exploit e infetta il PC non aggiornato.
I danni fatti da questa botnet sono stati importanti: Simda è stata trovata in più di 190 Paesi e si stima abbia infettato 770.000 computer in tutto il mondo, con un numero più alto di vittime negli Stati Uniti (più di 90.000 nuove infezioni dall’inizio del 2015).
“Le botnet sono network distribuiti a livello globale e fermarle è solitamente un compito arduo. È per questo motivo che è essenziale un’attività congiunta da parte del settore privato e pubblico” sottolinea Vitaly Kamluk, Principal Security Researcher di Kaspersky Lab, attualmente operante presso l’INTERPOL.
Come risultato dell’operazione, i server di comando e controllo usati dai criminali per comunicare con le macchine infette sono stati bloccati. Tuttavia, è importante notare che alcune infezioni sono ancora in corso, per cui è necessario mettere in atto strategie di sicurezza a tutto tondo che arginino i pericoli residui.
L’indagine intanto prosegue allo scopo di identificare gli attori che si nascondono dietro alla botnet Simda e che hanno applicato alla loro attività criminale un modello di business volto a far pagare i partner affiliati.
