Kaspersky Lab ha fatto parte della task force di forze dell’ordine e imprese, nata per eliminare l’infrastruttura criminale fatta di domini internet e server, volta ad attaccare i sistemi bancari online di tutto il mondo utilizzando il Trojan Shylock.
Tra l’8 e il 9 luglio 2014, le forze dell’ordine hanno distrutto il sistema che consentiva a Shylock di operare in modo efficace sequestrando i server che formavano il sistema di comando e controllo del Trojan e prendendo il controllo dei domini Shylock utilizzati nella comunicazione tra computer infetti.
L’operazione, coordinata dalla National Crime Agency del Regno Unito (Nca), ha riunito diversi partner delle forze dell’ordine e del settore privato, tra cui – oltre a Kaspersky Lab – l’Europol, l’Fbi, Bae Systems Applied Intelligence, Dell SecureWorks e il Gchq (Government Communications Headquarters) del Regno Unito, per combattere in maniera congiunta questa minaccia.
Le azioni investigative sono state condotte dal centro operativo dello European Cybercrime Centre (Ec3) presso l’Europol dell’Aia. Gli investigatori provenienti dal Regno Unito, Usa, Italia, Paesi Bassi e Turchia hanno unito le forze per coordinare il funzionamento dell’operazione nei rispettivi paesi in collaborazione con le controparti in Germania, Francia e Polonia. Il coordinamento attraverso l’Europol è stato determinante per distruggere i server che formavano il nucleo delle botnet, i malware e l’intera infrastruttura Shylock. Il Cert-Eu (Eu Computer Emergency Response Team) ha partecipato all’operazione fornendo ai colleghi informazioni importanti sui domini nocivi.
Shylock – che deve il nome ai brani tratti dal Mercante di Venezia di Skakespeare contenuti all’interno del codice – ha infettato circa 30mila computer in tutto il mondo che girano su Microsoft Windows. L’Intelligence ha sottolineato che Shylock si rivolge in particolar modo al Regno Unito, ma non solo; anche Stati Uniti, Italia e Turchia sono tra gli obiettivi presi di mira dal codice dannoso.
Nella maggior parte dei casi le vittime vengono infettate attraverso link nocivi che, una volta cliccati, scaricano ed eseguono il malware all’insaputa dell’utente. Shylock a questo punto tenta di accedere al denaro dei conti bancari aziendali o personali e di trasferirlo ai sistemi di controllo dei criminali.
