Europol brengt trojan-infrastructuur die zich op bankgegevens richt slag toe

Europol heeft in samenwerking met de FBI, verschillende politiekorpsen en een aantal beveiligingsbedrijven op 8 en 9 juli de servers en domeinen platgelegd die de basis vormen voor de communicatie tussen computers die geïnfecteerd zijn met de Shylock Trojan.

De Shylock Trojan richt zich op het stelen van bankgegevens die worden ingevoerd op geïnfecteerde apparaten. Criminelen kunnen deze gegevens gebruiken om rekeningen van slachtoffers leeg te halen. Wereldwijd zouden er volgens Europol meer dan 30.000 Windows-systemen zijn besmet met de trojan. Vooral in het Verenigd Koninkrijk zouden veel systemen zijn geïnfecteerd, maar ook relatief veel systemen uit de VS, Italië en Turkije zouden zijn getroffen door Shylock. Veel gebruikers ontvingen de malware door te klikken op bepaalde links die de computer vervolgens een installatie van de malware uit zou willen laten voeren.

De operatie werd geleid door de National Crime Agency van het VK en werd gecoördineerd vanuit het operationeel centrum van Europol in Den Haag. Daarnaast waren beveiligingsbedrijven BAE Systems Applied Intelligence, Dell SecureWorks en Kaspersky Lab en de Britse Government Communications Headquarters betrokken bij de actie.

De actie is waarschijnlijk onderdeel van Europols strategie van de aanpak van online criminaliteit. Troels Oerting, hoofd cybercrime bij Europol, zei eind april namelijk dat het verstoren van de activiteiten van criminelen die online handelen veel belangrijker is dan ze vervolgen. Volgens Oerting zou dat een veel betere aanpak zijn van het probleem omdat vervolging te weinig zin zou hebben.

IT-banen

Reacties (15)

svennd 10 juli 2014 15:44

Dit is kat en muis toch, als je niemand vervolgt proberen ze de volgende keer gewoon op een andere manier ?

Robbedem @svennd • 10 juli 2014 15:48

Als ze redelijke kans hebben om te vervolgen zullen ze dat nog wel doen denk ik. Het probleem is alleen dat het vaak organisates zijn die opereren vanuit bvb Rusland, China, India, Iran,...
Het is niet zo gemakkelijk om daar mensen te gaan vinden en vervolgen. Hun activiteiten verstoren is dan de tweede beste oplossing.

biglia @Robbedem • 10 juli 2014 16:03

Ik voorspel dat ze ooit wel eens internet embargo's gaan instellen zodat bepaalde landen niet meer mee mogen doen.

Vizzie @biglia • 10 juli 2014 16:37

Perfect idee, als er uit bepaalde landen een hoop ellende komt en niet veel anders laat ze dan maar een jaartje zonder internet zitten. Denk dat ze er daarna wel voor willen zorgen dat de overlast binnen de perken blijft.

The Zep Man

Netwerk en systeembeheer
Malware

@Vizzie • 10 juli 2014 17:50

Perfect idee, als er uit bepaalde landen een hoop ellende komt en niet veel anders laat ze dan maar een jaartje zonder internet zitten. Denk dat ze er daarna wel voor willen zorgen dat de overlast binnen de perken blijft.

En daarmee is het heel gemakkelijk voor een regering om een denial of service aanval uit te voeren, om zo verder de eigen bevolking te onderdrukken. Je hoeft zelf niet meer te censureren; dat laat je over aan je vijanden, die je verder zwart kan maken onder de eigen bevolking. Goed idee.

Denk toch eens verder na dan het onderbuikgevoel. Je denkt echt dat hackers op dit niveau zich laten stoppen door een landblokkade? Als ze verbonden zijn aan een regering, hacken ze heus niet vanuit het land waarvoor ze werken. Als ze niet verbonden zijn aan een regering, dan zijn ze nog flexibeler in hun werk en verhuizen ze naar een ander land als zo'n blokkade ze al tegenhoudt.

Iets algemener, uit het artikel:

Troels Oerting, hoofd cybercrime bij Europol, zei eind april namelijk dat het verstoren van de activiteiten van criminelen die online handelen veel belangrijker is dan ze vervolgen. Volgens Oerting zou dat een veel betere aanpak zijn van het probleem omdat vervolging te weinig zin zou hebben.

Pak eerst eens het laaghangend fruit door het aanvalsoppervlak te verkleinen. Dat is nu nog veel te breed door de grote hoeveelheid kwetsbare systemen in de westerse wereld, een gebied waar Europol wel invloed op heeft.

[Reactie gewijzigd door The Zep Man op 26 juli 2024 03:51]

flabber @Vizzie • 10 juli 2014 16:53

Perfect idee, als er uit bepaalde landen een hoop ellende komt en niet veel anders
...

Dan is die "niet veel anders" wel heel erg essentieel.
Want door onze goede en snelle infrastructuur wordt er erg veel troep op nederlandse servers gehost.

MrFax @Vizzie • 11 juli 2014 00:46

En dan zeggen dat netneutraliteit belangrijk is...

_{edit: niet persoonlijk bedoeld}

[Reactie gewijzigd door MrFax op 26 juli 2024 03:51]

robvanwijk

Malware
Netwerk en systeembeheer

@biglia • 10 juli 2014 17:44

Leuk idee, één probleem: nadat we Iran, China, Rusland, India en Turkije van het Internet afgeschopt hebben, waar wil je precies de grens trekken? Wat zou je ervan vinden als de VS óns van het Internet wil gooien (omdat we een grote bron van torrent seeders zijn of zo, ik roep maar wat)? Of de VS wil Cuba niet op het Internet hebben, maar (laten we zeggen) Venezuela vertikt het om hun kabel naar Cuba af te koppelen... dan gooien we Venezuela er ook maar gewoon af?

TL;DR: als we daar eenmaal mee beginnen dan zitten we heel snel met één "Internet" per land, die geen van alle met elkaar verbonden zijn... en net die verbondenheid is wat het Internet zo nuttig maakt.

Verwijderd 10 juli 2014 15:47

Oerting, hoofd cybercrime bij Europol, zei eind april namelijk dat het verstoren van de activiteiten van criminelen die online handelen veel belangrijker is dan ze vervolgen. Volgens Oerting zou dat een veel betere aanpak zijn van het probleem omdat vervolging te weinig zin zou hebben.

Ik snap niet hoe niemand vervolgen leid tot minder web criminaliteit, als je ze niet pakt, dan hebben ze alleen maar meer kans om terug te komen met een sterker virus doordat ze nu geleerd hebben hoe je het vorige virus aangepakt hebt, of zie ik dat verkeerd?

[Reactie gewijzigd door Verwijderd op 26 juli 2024 03:51]

Erwin537 @Verwijderd • 10 juli 2014 16:13

Ze zullen op een gegeven moment gemerkt hebben dat het onmogelijk is om met te verantwoorden middelen en tijd de mensen achter zo'n netwerk te vervolgen.

drdelta @Verwijderd • 10 juli 2014 16:58

Omdat iedere keer dat ze iets opbouwen Europol het weer kapot maakt. Werkt niet bepaald motiverend meestal.

the-dark-force @drdelta • 10 juli 2014 22:32

Of je leert om in vervolg een backup plan te hebben voor dit soort dingen..
(denk hierbij aan een extra c&c ip + update mechanisme om te zorgen dat er geen verbinding word gemaakt met gecompromiseerde servers bij time-outs van de "hoofd" c&c servers. (of "splitst" in meerdere kleine botnets met een eigen c&c server)
of bind je backup malware aan persoonlijke documenten en foto's, duurt even maar uiteindelijk komen ze dus wel weer terug...

of je zorgt ervoor dat je botnet(s) niet te groot worden en dus minder snel neergehaald worden.
30.000 had ook 30x 1000 kunnen zijn, veel minder kans alle investeringen kwijt te raken.

Of je neemt datums: langer als 30 dagen zonder vreemd gedrag in je botnet ?
hup naar botnet nr 2 dan nr 3 enz enz. waardoor je grootste botnets dus "vertrouwde" slachtoffers zijn en geen honeypot/klikspaantjes

Vroeger infecteerden ze bots met meerdere soorten malware (x&y) wanneer X onschadelijk was gemaakt werd het hele zooitje opnieuw geïnfecteerd door Y met malware X 2.0
(en andersom)
'k weet niet of dat nog gedaan word, in ieder geval goed werk van deze organisaties/bedrijven/diensten !
Nu hopen dat de C&C servers info bevatten waardoor deze boefjes gestopt worden.

[Reactie gewijzigd door the-dark-force op 26 juli 2024 03:51]

Verwijderd 10 juli 2014 15:41

Netjes. Ben benieuwd of de makers nog een leuke fail-over hebben.

the iMad 10 juli 2014 18:01

Op de achtergrond zijn ze echt wel bezig om te kijken of ze deze criminelen kunnen pakken.

Voordeel is dat bekend is welke servers het zijn en deze offline zijn en dan eventueel gebruikt kunnen worden voor meer onderzoek.

dupy 11 juli 2014 14:25

Ik ken dhr Oerting niet, en weet dus ook niet of wat in dit artikel staat werkelijk overeenkomt met zijn mening. Kan me eigenlijk niet voorstellen dat het hoofd van Cybercrime van Europol tot zulke uitspraken komt. Als het gaat om de effektiviteit kan ik me er iets bij voorstellen. Aan de andere kant zou een afschrikeffekt met uitermate hoge strafmaten toch wel duidelijker gesteld mogen worden. Het artikel lijkt wel een beetje te neigen naar een uitnodiging aan criminelen.

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (15)

Sorteer op:

Weergave: