Logo Zéphyrnet

Intelligence de données générative

Cyber sécurité

Google obtient une ordonnance du tribunal pour forcer les FAI à filtrer le trafic des botnets

Republié par Platon
Republié par Platon

Date :

Vues: 135
by Écrivain Naked Security

Un tribunal américain a récemment rendu publique une ordonnance restrictive contre un gang de cybercriminels présumés opérant à l'extérieur du pays, sur la base d'une plainte légale officielle du géant de l'Internet Google.

Google, semble-t-il, a décidé d'utiliser sa taille, son influence et les données de son réseau pour dire "Ce n'est plus le cas !", sur la base des preuves qu'il avait recueillies sur un cybergang connu sous le nom de CrypteBot équipage, qui, selon Google, étaient :

  • Arracher les noms de produits, les icônes et les marques Google pour shill leurs services de distribution de logiciels voyous.
  • Exécution de services « pay-per-install » pour des ensembles de logiciels présumés qui ont délibérément injecté des logiciels malveillants sur les ordinateurs des victimes.
  • Exploitation d'un botnet (un robot ou réseau de zombies) pour voler, collecter et rassembler les données personnelles de centaines de milliers de victimes aux États-Unis.

Vous pouvez lire un PDF du document judiciaire en ligne.
Merci à nos amis du pub en ligne Le registre pour publier ceci.

Piller à volonté

Les données que ces criminels CryptBot auraient pillées comprennent les mots de passe du navigateur, les captures d'écran prises illégalement, les données de compte de crypto-monnaie et d'autres PII (informations personnellement identifiables).

Comme l'indique l'ordonnance du tribunal :

Les défendeurs sont responsables de la distribution d'un botnet qui a infecté environ 672,220 XNUMX appareils victimes de CryptBot aux États-Unis au cours de l'année dernière. À tout moment, l'extraordinaire puissance de calcul du botnet pourrait être exploitée pour d'autres stratagèmes criminels.

Les défendeurs pourraient, par exemple, activer des rançongiciels de grande envergure ou des attaques par déni de service distribuées contre des entreprises légitimes et d'autres cibles. Les accusés pourraient eux-mêmes perpétrer une telle attaque nuisible, ou ils pourraient vendre l'accès au botnet à un tiers à cette fin.

Parce que les accusés opèrent apparemment à partir du Pakistan et, sans surprise, ne se sont pas présentés au tribunal pour plaider leur cause, le tribunal a décidé de son issue sans entendre leur version de l'histoire.

Néanmoins, le tribunal a conclu que Google avait démontré "une chance de succès" en ce qui concerne les accusations, y compris la violation de la loi sur la fraude et l'abus informatiques, les règles sur les marques et les lois sur le racket (qui traitent, en gros, du soi-disant crime organisé - commettre des crimes comme si vous dirigiez une entreprise):

[Le tribunal est favorable] à une ordonnance d'interdiction temporaire. L'entreprise criminelle escroque les utilisateurs et blesse Google. Il n'y a aucun facteur compensatoire pesant contre une ordonnance d'interdiction temporaire : il n'y a aucune raison légitime pour laquelle les défendeurs devraient être autorisés à continuer à diffuser des logiciels malveillants et des logiciels piratés et à manipuler des ordinateurs infectés pour mener à bien des stratagèmes criminels. […]

Chaque jour qui passe, les défendeurs infectent de nouveaux ordinateurs, volent plus d'informations sur les comptes et trompent davantage de victimes sans méfiance. La protection contre les cyberattaques malveillantes et autres cybercrimes est fortement dans l'intérêt public.

Comme vous pouvez l'imaginer, certains aspects de l'ordonnance d'éloignement suivent le genre de légalismes qui frappent les non-avocats comme des résultats tautologiques, à savoir exiger officiellement que les criminels cessent de commettre des crimes, notamment : ne plus distribuer de logiciels malveillants, ne plus gérer de botnet, ne plus voler les données des victimes et ne plus revendre ces données volées à d'autres escrocs.

Bloquez ce trafic

Fait intéressant, cependant, l'ordonnance du tribunal autorise également Google à identifier les fournisseurs de réseau dont les services rendent directement ou indirectement cette criminalité possible, et à « [demander] que ces personnes et entités fassent les meilleurs efforts raisonnables » pour arrêter le malware et le vol de données dans son élan.

Cette intervention ne s'applique pas seulement aux entreprises telles que les bureaux d'enregistrement de noms de domaine et les hébergeurs. (Les ordonnances des tribunaux exigent souvent que les noms de serveurs soient retirés aux criminels et remis aux forces de l'ordre ou à l'entreprise lésée, et que les sites Web ou les serveurs Web soient supprimés.)

Vraisemblablement pour rendre plus difficile pour ces escrocs présumés simplement de déplacer leurs serveurs vers des fournisseurs d'hébergement qui ne peuvent pas être identifiés du tout, ou qui ignoreront volontiers les demandes de retrait américaines, cette ordonnance du tribunal couvre même le blocage du trafic réseau qui est connu pour aller vers ou provenant de domaines associés à l'équipage CryptBot.

Les derniers sauts de réseau effectués par tout trafic malveillant qui atteint les victimes américaines passeront presque certainement par des FAI sous juridiction américaine, nous supposons donc que ces fournisseurs pourraient se retrouver avec la responsabilité légale de filtrer activement tout trafic malveillant.

Pour être clair, l'ordonnance du tribunal n'exige, ni même ne mentionne, aucune sorte d'espionnage, de flairage ou de sauvegarde des données transférées ; il couvre simplement la prise "mesures raisonnables pour identifier" ainsi que "mesures raisonnables pour bloquer" trafic vers et depuis une liste de domaines identifiés et de numéros IP.

De plus, la commande couvre le blocage du trafic "vers et/ou depuis toute autre adresse IP ou domaine vers lequel les défendeurs peuvent déplacer l'infrastructure du botnet", et donne à Google le droit de "modifier [sa liste d'emplacements réseau à bloquer] s'il identifie d'autres domaines, ou des identifiants similaires, utilisés par les défendeurs en relation avec l'entreprise de distribution de logiciels malveillants."

Enfin, l'ordonnance d'interdiction stipule, en une seule et puissante phrase :

Les défendeurs et leurs agents, représentants, successeurs ou ayants droit, et toutes les personnes agissant de concert ou en participation avec l'un d'eux, et toutes banques, associations d'épargne et de crédit, sociétés de cartes de crédit, agences de traitement de cartes de crédit, banques acquéreuses, institutions financières, ou d'autres sociétés ou agences qui se livrent au traitement ou au transfert d'argent et/ou de biens immobiliers ou personnels, qui reçoivent un avis effectif de cette ordonnance par signification personnelle ou autrement, sont, sans l'approbation préalable de la Cour, temporairement empêchées et interdites de transfert, de disposition ou, ou sécréter de l'argent, des actions, des obligations, des biens immobiliers ou personnels ou d'autres actifs des défendeurs ou autrement payer ou transférer de l'argent, des actions, des obligations, des biens immobiliers ou personnels ou d'autres actifs à l'un des défendeurs, ou dans ou à partir de tout compte associé ou utilisé par l'un des défendeurs.

En clair : si vous essayez d'aider ce lot à encaisser leurs gains mal acquis, que vous acceptiez trente pièces d'argent de leur part en paiement ou non, attendez-vous à avoir des ennuis !

Est-il efficace?

Cela aura-t-il un effet à grande échelle sur les opérations de CryptBot, ou leurs activités apparaîtront-elles simplement sous un nouveau nom, utilisant de nouveaux logiciels malveillants, distribués à partir de nouveaux serveurs, pour créer un nouveau botnet ?

Nous ne le savons pas.

Mais ces criminels présumés ont maintenant été nommés publiquement, et avec plus de deux tiers d'un million d'ordinateurs qui auraient été infectés par le malware zombie CryptBot au cours de la dernière année aux États-Unis seulement…

… même une toute petite brèche dans leurs activités les aidera sûrement.

Que faire?

Pour réduire votre propre risque de compromission par un logiciel malveillant zombie :

  • Éloignez-vous des sites proposant des téléchargements non officiels de logiciels populaires. Même les sites de téléchargement apparemment légitimes ne peuvent parfois pas s'empêcher d'ajouter les leurs extra "sauce secrète" aux téléchargements que vous pourriez tout aussi facilement obtenir via les propres canaux officiels du fournisseur. Méfiez-vous de supposer que le premier résultat d'un moteur de recherche est le site officiel de n'importe quel produit et de simplement cliquer dessus. En cas de doute, demandez à quelqu'un que vous connaissez et en qui vous avez confiance de vous aider à trouver le véritable fournisseur et le bon emplacement de téléchargement.
  • Envisagez d'exécuter des outils de blocage des logiciels malveillants en temps réel qui non seulement analyse les téléchargements, mais vous empêche également de manière proactive d'atteindre des serveurs de téléchargement risqués ou carrément dangereux en premier lieu. Sophos Accueil est gratuit pour un maximum de trois utilisateurs (Windows et/ou Mac), ou à un prix modique pour un maximum de 10 utilisateurs. Vous pouvez inviter vos amis et votre famille à partager votre licence et les aider à s'occuper de leurs appareils à distance, via notre console basée sur le cloud. (Vous n'avez pas besoin d'exécuter un serveur à la maison !)
  • Ne soyez jamais tenté d'opter pour un programme piraté ou craqué, peu importe à quel point vous pensez que votre propre justification peut être valable pour ne pas payer ou autoriser correctement. Si vous ne pouvez pas ou ne voulez pas payer pour un produit commercial, trouvez une alternative gratuite ou open source que vous pouvez utiliser à la place, même si cela signifie apprendre un nouveau produit ou abandonner certaines fonctionnalités que vous aimez, et obtenez-la auprès d'un véritable serveur de téléchargement.

spot_img

Dernières informations

spot_img

Copyright @ 2024 Platon Technologies Inc.