Centrul Naţional de Răspuns la Incidente de Securitate Cibernetică – CERT-RO deține informaţii conform cărora, în prima jumătate a anului 2014, în România au existat un număr semnificativ de victime ale unui malware de tip botnet, intitulat KINS. Între entităţile afectate se regăsesc persoane fizice, organizaţii publice si private din diferite domenii de activitate.

Până acum au fost identificate 16.840 de adrese IP unice din România ce au făcut parte din acest botnet, însă numărul real al sistemelor informatice afectate este posibil să fie semnificativ mai mare dacă luăm în considerare faptul că, de obicei, o adresă IP publică poate reprezenta o interfaţă către Internet pentru o întreagă infrastructură de sisteme informatice ale unei organizaţii.

Descriere

Conform informaţiilor obţinute de CERT-RO până în prezent, această campanie se bazează pe un malware cunoscut sub denumirea de KINS – un troian ce vizează furtul de informaţii cu caracter confidenţial, în special credențiale de acces la diferite servicii financiare (banking trojan) și non-financiare. O altă denumire utilizată de experţii în securitate cibernetică pentru acest malware este ZeuS-KINS, deoarece s-a descoperit faptul că utilizează o mare parte din codul sursă al binecunoscutei familii de troieni ZeuS.

Similitudinile cu Zeus şi SpyEye, pot fi observate inclusiv din facilităţile oferite:

– arhitectură asemănătoare Zeus/SpyEye: un fişier principal şi plugin-uri bazate pe DLL-uri;

– compatibil cu inject-urile web utilitate de Zeus;

– conţine plugin-ul Anti-Rapport care este utilizat şi de SpyEye;

– funcţionează cu RDP (Remote Desktop Protocol), ca şi SpyEye;

– nu necesita cunoştinţe tehnice avansate pentru utilizare.

În prezent, KINS este răspândit prin intermediul unor pachete de exploatare (exploit kits) precum „Neutrino” sau „KINS Toolkit” şi foloseşte tehnici de împachetare dintre cele mai sofisticate.

Impact

Atacatorii au acces complet la sistemele infectate cu acest malware şi monitorizează aplicaţiile şi serviciile accesate de utilizatori în vederea aflării credenţialelor de acces şi altor informaţii confidenţiale.

În prezent se ştie faptul că malware-ul KINS poate infecta cu uşurinţă sistemele informatice care rulează Windows 8 şi alte sisteme de operare x64 şi îşi asigură persistenţa pe sistemele infectate la nivel de VBR (Volume Boot Record).

Detecţie şi dezinfecţie

În vederea detectării şi dezinfectării sistemelor informatice infectate cu ZeuS-KINS, vă recomandăm utilizarea unei unelte special concepută pentru acest scop, pusă la dispoziţie de compania Bitdefender, în 2 variante, astfel:

– “Bitdefender ZeuS-Kins Network Removal Tool”, pentru scanarea şi dezinfectarea centralizată a sistemelor informatice din cadrul unei reţele;

– “Bitdefender ZeuS-Kins Removal Tool”, pentru scanarea şi dezinfectarea individuală (standalone) a sistemelor informatice.

Ghid de utilizare a uneltei Bitdefender ZeuS-Kins Network Removal Tool:

1. Se creează o locaţie de stocare partajată în reţea (network share) pentru colectarea centralizată a log-urilor. Pe maşina ce va găzdui share-ul de reţea se vor efectua următoarele:

– se activează user-ul Guest;

– se creează şi se partajează un director a cărui denumire să nu conţină spaţii (ex: share_remtool);

– pe directorul creat se vor acorda permisiuni de scriere şi citire pentru conturile de utilizator Everyone” si “Guest” (din meniul Sharing and Security);

– se activează opţiunea „Turn off password protected sharing”, pentru toate profilele de reţea (Home or Work, Public), accesând Control Panel -> Network and Internet -> Network and Sharing Center -> Advanced sharing settings;

2. Utilizând un server de reţea conectat la domeniu şi un cont cu drepturi administrative pe domeniu (ex: Domain Administrator), se efectuează următoarele operaţiuni:

– se descarcă unealta Bitdefender ZeuS-Kins Network Removal Tool;

– se lansează în execuţie BitdefenderNetworkRemovalZeusKins.exe şi se bifează căsuţa aferentă “Termeni şi condiții de utilizare”;

– se finalizează instalarea uneltei;

3. Se lansează aplicaţia instalată ţinând cont de următoarele:

– în cea de a doua fereastră, la secţiunea “log path”, se va specifica locația directorului partajat în reţea pentru colectarea log-urilor, creat conform procedurii de la pasul 1;

– în următoarea fereastră, la secţiunea “look in”, se selectează “toată rețeaua”;

– la secţiunea „Add computers to list” se vor specifica adresele IP sau denumirile computerelor pe care se doreşte efectuarea operaţiunilor de scanare şi devirusare, conform exemplelor din link-ul „view some examples”;

– se apasă butonul “Start”;

– la final se accesează informaţiile din log-urile salvate în share-ul de reţea.

Alternativ, recomandăm întreprinderea următoarelor măsuri în cadrul infrastructurii/reţelei dumneavoastră:

1. Scanaţi sistemele infectate cu una sau mai multe soluţii de securitate de tip antimalware, antispam şi antiphishing. Este important ca bazele de date cu semnături şi motoarele de scanare aferente acestor soluţii să fie actualizate;

2. Îndepărtaţi infecţiile detectate în urma scanării, utilizând facilităţile de dezinfecţie oferite de soluţiile utilizate pentru scanare şi alte unelte dedicate îndepărtării malwareului Zeus-KINS;

3. Schimbaţi imediat parolele de acces la serviciile ce ar fi putut fi compromise. În principiu pot fi suspectate de a fi compromise toate serviciile accesate prin intermediul sistemelor informatice infectate.