HACKER MEDICINE

Com uma ampla variedade de incidentes de segurança em 2014 – de violações de dados em larga escala a vulnerabilidades na própria base da rede – é difícil saber o que é prioridade. Quais acontecimentos foram apenas interessantes e quais se referem a tendências na área de segurança online? Que ameaças são resquícios do passado e quais são indicação do que virá no futuro?

Abaixo estão os quatro acontecimentos mais importantes da área de segurança online do último ano, o que aprendemos (ou deveríamos ter aprendido) com eles, e que alerta eles enviam para o ano que vem.

A descoberta das vulnerabilidades Heartbleed e ShellShockBash Bug

No primeiro semestre de 2014, a vulnerabilidade Heartbleed foi descoberta. Ela é uma vulnerabilidade séria em OpenSSL, uma das implementações dos protocolos SSL e TLS mais utilizada em sites. O Heartbleed permite que os atacantes roubem informações sensíveis como dados pessoais, de login, ou mesmo chaves de criptografia que podem levar à decodificação de comunicações protegidas.

Além disso, alguns meses depois foi encontrada uma vulnerabilidade em Bash, um componente comum também conhecido como shell, que está incluído na maioria das versões dos sistemas operacionais Linux e Unix, além do Mac OS X (também baseado em Unix). Conhecida como ShellShock (ou Bash Bug), ela permite que um cibercriminoso não apenas roube dados de um computador comprometido, mas também ganhe controle sobre o aparelho em si, potencialmente obtendo acesso a outros dispositivos na rede.

As ameaças Heartbleed e ShellShock levaram a atenção à segurança de softwares de código aberto e em como elas estão no centro de tantos sistemas dos quais dependemos para e-commerce. No caso de vulnerabilidades de software proprietário, precisamos apenas contar com um único fornecedor que entregue um patch.

No entanto, quando se trata de software de código aberto, o software pode estar integrado a uma série de aplicações e sistemas, o que significa que o administrador depende de uma variedade de fornecedores para que entreguem patches. Com o ShellShock e Heartbleed, houve muita confusão quanto à disponibilidade e eficácia dos patches e esperamos que isso sirva como um toque de despertar sobre o quanto precisamos de respostas coordenadas maiores às vulnerabilidades de código aberto, semelhante ao programa MAPP.

Ou seja, daqui em diante novas ameaças como essas continuarão a ser descobertas em programas de código aberto. Ainda que seja uma área nova e potencialmente rica para atacantes, o maior risco continua a vir de vulnerabilidades conhecidas, onde os patches adequados não são aplicados. De acordo com o Relatório sobre Ameaças à Segurança na Internet deste ano, 77% dos sites legítimos tinham vulnerabilidades exploráveis. Portanto, em 2015 veremos cibercriminosos utilizarem o Heartbleed ou ShellShock, mas há centenas de outras vulnerabilidades sem patches que os hackers continuarão a explorar impunemente.

Ciberespionagem coordenada e cibersabotagem em potencial: Dragonfly e Turla

O grupo Dragonfly, que parece estar em operação desde pelo menos 2011, inicialmente visou empresas de defesa e aviação nos EUA e Canadá, antes de mudar seu foco principalmente para empresas de energia no começo de 2013. Capaz de lançar ofensivas através de diversos vetores diferentes, sua campanha de ataque mais ambiciosa comprometeu diversos provedores de equipamentos de sistemas de controle industriais (ICS), infectando softwares com um Trojan de acesso remoto.

Tal ação deu aos atacantes acesso total aos sistemas onde o software estivesse instalado, o que permitia se infiltrar nas organizações alvo para desempenhar atividades de ciberespionagem. Muitos destes sistemas estavam rodando programas ICS utilizados para controlar infraestruturas críticas como oleodutos e redes de energia, porém não houve registro de cibersabotagem nestes ataques. Sem dúvida os criminosos tinham essa capacidade e poderiam ter lançado ataques rapidamente, mas talvez tenham optado por aguardar, sendo interrompidos antes que pudessem avançar.

O Dragonfly também empregou campanhas dirigidas de spam por e-mail e ataques de watering hole para infectar organizações-alvo. De forma semelhante, o grupo por trás do malware Turla também usa uma estratégia de ataque em múltiplas frentes para infectar as vítimas através de e-mails de spearphishing e ataques de watering hole, que exibem capacidades de comprometimento extremamente dirigidas, onde os atacantes comprometem uma série de sites legítimos e entregam o malware apenas para vítimas que acessem a partir de faixas de endereço de IP previamente selecionadas. Eles também deixavam suas ferramentas mais sofisticadas de vigilância para alvos de alto valor. Porém, a motivação do Turla é diferente da do Dragonfly. Os cibercriminosos do Turla estão executando vigilância de longo prazo contra embaixadas e departamentos governamentais, uma forma muito tradicional de espionagem.

Tanto as campanhas do Dragonfly como do Turla carregam a marca de operações patrocinadas por Estados, apresentando um alto nível de capacidade técnica e de recursos. São capazes de montar ataques através de vetores múltiplos e comprometeram diversos sites de terceiros. Seu propósito aparente seria de ciberespionagem – e sabotagem como uma capacidade secundária no caso do Dragonfly.

Estas campanhas são apenas exemplos das inúmeras campanhas de espionagem que encontramos quase diariamente. Este é um problema global e não há sinais de trégua, com ataques como o Sandworm alavancando uma série de vulnerabilidades de dia zero. Considerando-se a evidência de profundos recursos técnicos e financeiros, estes ataques são, muito provavelmente, patrocinados por Estados.

Cartões de crédito no alvo

O lucrativo negócio de venda no mercado negro de dados de cartões de crédito ou débito roubados torna esse ramo um grande alvo para criminosos. Em 2014, ocorreram diversos ataques de destaque focados em sistemas point-of-sale (POS) para obter as informações do cartão de pagamento de consumidores. Um fator que torna os Estados Unidos o maior alvo é a incapacidade de adotar o sistema chip-e-PIN, conhecido como EMV (Europay, MasterCard e VISA), que oferece mais segurança que os cartões com faixa magnética. Os ataques utilizaram malwares que podem roubar informações da faixa magnética do cartão de pagamento enquanto ela é lida pelo computador e antes que seja criptografada. As informações roubadas podem então ser utilizadas para clonar o objeto. Como as informações de transações com EMV são criptografadas de modo único a cada vez, é mais difícil para os criminosos captar partes úteis de dados de pagamento e usá-las novamente para outra compra. No entanto, essa tecnologia é igualmente suscetível ao uso em compras online fraudulentas.

O Apple Pay, que basicamente transforma seu celular em uma “carteira virtual” através da tecnologia near-field communication (NFC), também foi lançado em 2014. O NFC é um tipo de comunicação que envolve a transmissão sem fio de dados, de um dispositivo de hardware para outro objeto físico que esteja próximo, neste caso, a caixa registradora.

Os sistemas de pagamento de NFC já existem há algum tempo, mas esperamos ver um aumento na adoção dessa tecnologia por consumidores no próximo ano, já que mais smartphones terão suporte a esse padrão. Vale notar que os sistemas NFC são mais seguros que faixas magnéticas, mas ainda existe a possibilidade de hackers explorarem o sistema, ainda que isso exija que os bandidos se direcionem a cartões individuais e não resulte em violação ou roubo de grande escala como vimos nos EUA. No entanto, a tecnologia de pagamento utilizada não protege contra varejistas que não armazenam dados de cartões de forma segura, eles ainda precisam ser cuidadosos na proteção dos dados armazenados.

Maior colaboração com agências de segurança

Agora, uma boa notícia: em 2014 tivemos muitos exemplos de agências internacionais de segurança adotando uma posição mais ativa e agressiva contra o cibercrime, colaborando cada vez mais com o setor de segurança online para derrubar cibercriminosos.

Blackshades é um Trojan de acesso remoto (RAT) popular e poderoso, utilizado por uma série de autores de ameaças, desde hackers iniciantes até grupos cibercriminosos sofisticados. Em maio de 2014, o FBI, a Europol e diversas outras agências de segurança prenderam dezenas de pessoas suspeitas de atividades centradas no uso de Blackshades (também conhecido como W32.Shadesrat). A Symantec trabalhou junto ao FBI neste esforço coordenado de combate, fornecendo informações que permitiram que a agência localizasse pessoas suspeitas de envolvimento.

Apenas um mês depois, o FBI, o National Crime Agency do Reino Unido, e diversas outras agências internacionais de segurança, trabalhando ao lado da Symantec e outras empresas do setor privado, interromperam significativamente duas das mais perigosas operações de fraude financeira do mundo: o botnet Gameover Zeus e a rede Cryptolocker ransomware. Com isso, o FBI apreendeu uma grande infraestrutura usada pelas duas ameaças.

Apesar de estes golpes serem parte de um esforço contínuo, não veremos o desaparecimento do cibercrime de forma rápida. Tanto o setor privado como as agências de segurança precisam continuar a colaborar para ter um impacto duradouro. Conforme a taxa e sofisticação de ciberataques aumentam, esperamos uma continuidade dessa tendência de colaboração para localizar os atacantes e interromper sua ação.

Então, aí está, minha visão sobre os quatro acontecimentos mais importantes na segurança online em 2014. Claro, ainda temos algumas semanas antes da chegada de 2015, então podemos ver o surgimento de outros eventos, mas você pode confiar que a Symantec está aqui e cuidaremos de você, independentemente do que o futuro possa trazer!

Con tanta variedad de incidentes de seguridad en 2014 -desde las fugas de datos a gran escala hasta las vulnerabilidades en la web- es difícil saber qué destacó más. ¿Cuáles situaciones fueron meramente interesantes y cuáles tienen que ver con las tendencias más grandes en temas de seguridad en Internet? ¿Qué amenazas son restos del pasado y cuáles son indicaciones de lo que nos depara el futuro?

A continuación presentamos cuatro de los acontecimientos más importantes en el ramo de la seguridad en línea del último año, lo que aprendimos (o deberíamos haber aprendido) a partir de ellos y lo que presagian para el próximo año.

El descubrimiento de las vulnerabilidades Heartbleed y ShellShock Bash Bug

En la primavera de 2014, se descubrió Heartbleed, una grave vulnerabilidad en OpenSSL. Es una de las implementaciones más comunes de los protocolos SSL y TLS que se utilizan en muchos sitios web populares. Heartbleed permite a los atacantes robar información confidencial como credenciales de acceso, datos personales o incluso las claves de cifrado que pueden llevar a la revelación de comunicaciones seguras.

Luego, a principios de otoño, una vulnerabilidad fue encontrada en Bash, un componente común conocido como un caparazón, que se incluye en la mayoría de las versiones de los sistemas operativos Linux y Unix, además de Mac OS X (que en sí mismo está basado en Unix). Conocida como ShellShock o Bash Bug, esta vulnerabilidad permite a un atacante no sólo robar datos de una computadora infectada sino también tener control sobre el propio equipo, lo que podría darle acceso a otros equipos de la red.

Heartbleed y ShellShock se convirtieron en el centro de atención en seguridad del software de código abierto y se identificó como el núcleo de muchos sistemas de los que dependemos para el comercio electrónico. Para las vulnerabilidades en software patentado dependemos de un solo proveedor para proporcionar un parche. Sin embargo, cuando se trata de un software de código abierto, éste puede estar integrado en cualquier número de aplicaciones y sistemas. Esto significa que un administrador tiene que depender de una variedad de proveedores para el suministro de parches. Con ShellShock y Heartbleed hubo una gran confusión en cuanto a la disponibilidad y eficacia de los parches. Esperemos que esto sirva como una llamada de atención para la necesidad de contar con mayores respuestas coordinadas a las vulnerabilidades de código abierto, similares al programa MAPP.

En el futuro, amenazas como éstas seguirán descubriéndose en programas de código abierto. Pero, si bien esto es potencialmente una rica y nueva área para los atacantes, el mayor riesgo viene de las vulnerabilidades conocidas, en las que no se están aplicando los parches adecuados. El Informe sobre las Amenazas de Seguridad de Internet de este año mostró que 77% de los sitios web legítimos tenía vulnerabilidades explotables. Así que, en 2015 probablemente veremos atacantes utilizando Heartbleed o ShellShock, pero hay cientos de otras vulnerabilidades sin parches que los hackers continuarán explotando libremente.

Ciberespionaje coordinado y potencial: Dragonfly y Turla

El grupo Dragonfly que parece haber estado en funcionamiento por lo menos desde 2011, inicialmente se enfocó en atacar empresas de defensa y aviación en Estados Unidos y Canadá, antes de cambiar su blanco a empresas de energía, a principios de 2013. Capaz de lanzar ataques a través de varios vectores diferentes, su más ambiciosa campaña de ataque infectó una serie de sistema de control industrial (ICS) de proveedores de equipos, dañando su software con un tipo de acceso remoto troyano. Esto dio a los atacantes acceso completo a los sistemas en los que se había instalado este software. Si bien esto permite a los atacantes llegar a las organizaciones objetivo con el fin de llevar a cabo actividades de espionaje, muchos de estos sistemas estaban utilizando programas ICS para controlar infraestructura crítica, tales como oleoductos y redes de energía. Si bien no se vio ciberespionaje en estos ataques, no hay duda que los atacantes tenían la capacidad y podrían haber puesto en marcha este tipo de acciones en cualquier momento. Quizás eligieron esperar y fueron interrumpidos antes de que pudieran seguir adelante.

Dragonfly también utiliza campañas dirigidas de correo electrónico spam y ataques de tipo watering hole para infectar organizaciones seleccionadas. Del mismo modo, el grupo detrás del software malicioso Turla también utiliza una estrategia de ataque múltiple para infectar a las víctimas a través de correos electrónicos de suplantación de identidad y ataques watering hole. Los ataques infectan una serie de sitios web legítimos y sólo “entregan” el software malicioso a los visitantes de cierto rango de direcciones IP preseleccionados. Los atacantes también podían dejar sus herramientas de vigilancia más sofisticadas para objetivos de alto valor. Los motivos de Turla son diferentes a los de Dragonfly. Los atacantes detrás de Turla están vigilando a largo plazo embajadas y departamentos del gobierno, una forma muy tradicional de espionaje.

Sin embargo, tanto las campañas de Dragonfly y de  Turla llevan el sello de operaciones patrocinadas por algún Estado, mostrando un alto grado de capacidad técnica y recursos. Ellos son capaces de montar ataques a través de múltiples vectores e infectar numerosos sitios web de terceros, con el propósito aparente de ser ciberespionaje -y sabotaje- como una capacidad secundaria de Dragonfly.

Estas campañas son sólo ejemplos de las muchas otras campañas de espionaje que vemos y se crean a diario. Este es un problema mundial y no muestra señales de disminuir, como por ejemplo ataques como Sandworm , relacionados con una serie de vulnerabilidades de día-cero. Dada la evidencia de los amplios recursos técnicos y financieros, es muy probable que estos ataques estén patrocinados por el Estado.

Tarjetas de crédito en la mira

El lucrativo negocio de la venta de datos de tarjetas de crédito o débito robadas en el mercado negro las vuelve un objetivo prioritario para los cibercriminales. En 2014 se presentaron varios ataques de alto perfil dirigidos a sistemas de punto de venta (POS) para obtener información de tarjetas de pago de los consumidores. Un factor que hace de Estados Unidos un objetivo prioritario es la falta de adopción del sistema chip-and-PIN, conocido como EMV (Europay, MasterCard y Visa), que ofrece más seguridad que las tarjetas de banda magnética. Los ataques utilizan malware que puede robar información de la banda magnética de la tarjeta de pago, al momento de ser leída por el equipo y antes de que se encripte. Esta información robada puede entonces ser utilizada para clonar esa tarjeta. Debido a que la información de transacciones de tarjetas EMV se codifica de forma única, cada vez, es más difícil para los criminales recoger pedazos de datos útiles de pago y utilizarlos de nuevo para otra compra. Sin embargo, las tarjetas EMV son tan susceptibles de ser utilizadas para compras en línea fraudulentas como las tarjetas tradicionales.

Apple Pay, que básicamente convierte tu teléfono móvil en una “billetera virtual” utilizando tecnología de comunicación de campo cercano (NFC), también se lanzó en 2014. NFC es un tipo de comunicación que implica la transmisión de datos de forma inalámbrica desde un dispositivo a otro objeto físico cercano, en este caso una caja registradora.

Mientras que los sistemas de pago NFC han estado disponibles por un tiempo, esperamos ver el próximo año un aumento en la adopción de esta tecnología en los consumidores, a medida que más teléfonos inteligentes son compatibles con él. Vale la pena señalar que, si bien los sistemas NFC son más seguros que las bandas magnéticas, todavía hay una posibilidad de que los hackers lo exploten, aunque esto requeriría que los atacantes se enfoquen en tarjetas individuales y no daría lugar a fugas a gran escala o robos como los que hemos visto. Sin embargo, la tecnología de pago utilizada actualmente no protegerá contra las tiendas que no almacenan los datos de las tarjetas de pago de sus clientes de forma segura, así que ellos todavía tendrán que estar al pendiente en proteger los datos almacenados.

El aumento de la colaboración con la policía

Ahora, para hablar un poco de buenas noticias: en 2014 vimos muchos ejemplos de equipos internacionales de aplicación de la ley que tomaron una postura más activa y agresiva sobre los delitos informáticos, colaborando cada vez más con la industria de la seguridad en Internet para acabar con los criminales cibernéticos.

Blackshades es un troyano de acceso remoto (RAT) muy popular y poderoso utilizado por una amplia gama de agentes de amenaza, desde piratas informáticos principiantes hasta sofisticados grupos de ciberdelincuencia. En mayo de 2014, el FBI, Europol y varias otras agencias de aplicación de la ley arrestaron a decenas de personas sospechosas de actividad criminal cibernética centradas en el uso de Blackshades (también conocido como W32.Shadesrat). Symantec trabajó en estrecha colaboración con el FBI en este esfuerzo coordinado para acabar con ellos, compartiéndoles información que permitió a la agencia localizar a los presuntos implicados.

Apenas un mes después, el FBI, la Agencia Nacional de Crimen del Reino Unido y una serie de agencias internacionales encargadas de hacer cumplir la ley, trabajaron en conjunto con Symantec y otras empresas del sector privado, para detener dos de las operaciones de fraude financiero más peligrosas del mundo: el botnet Gameover Zeus y la red de ransomware CryptoLocker. Y, como resultado, el FBI confiscó una gran infraestructura utilizada por ambas amenazas.

Si bien estos desmantelamientos son parte de un esfuerzo continuo, no veremos a la ciberdelincuencia desaparecer de la noche a la mañana. Tanto la industria privada como las autoridades tendrán que seguir cooperando para tener un impacto duradero. En este sentido, a medida que la tasa y la sofisticación de los ataques cibernéticos se incrementa, esperamos ver la continuación de esta tendencia de colaboración para localizar a los delincuentes y detenerlos en el camino.

Así que, estos son los cuatro eventos más importantes de seguridad en línea que hemos visto este 2014. Por supuesto, todavía quedan algunas semanas antes de que llegue el 2015, por lo que todavía podríamos ver que aparezcan otros eventos, pero se puede confiar en que Symantec está aquí y protegemos tu información, sin importar lo que venga a futuro.

With such an array of security incidents in 2014—from large-scale data breaches to vulnerabilities in the very foundation of the web—it’s difficult to know which to prioritize. Which developments were merely interesting and which speak of larger trends in the online security space? Which threats are remnants from the past and which are the indications for what the future holds?

The following are four of the most important developments in the online security arena over the past year, what we learned (or should have learned) from them, and what they portend for the coming year.

The discovery of the Heartbleed and ShellShockBash Bug vulnerabilities
In spring 2014, the Heartbleed vulnerability was discovered. Heartbleed is a serious vulnerability in OpenSSL, one of the most common implementations of the SSL and TLS protocols and used across many major websites. Heartbleed allows attackers to steal sensitive information such as login credentials, personal data, or even decryption keys that can lead to the decryption of secure communications.

Then, in early fall, a vulnerability was found in Bash, a common component known as a shell, which is included in most versions of the Linux and Unix operating systems, in addition to Mac OS X (which is, itself, based around Unix). 

Known as ShellShock or the Bash Bug, this vulnerability allows an attacker to not only steal data from a compromised computer, but also to gain control over the computer itself, potentially providing them with access to other computers on the network.

Heartbleed and ShellShock turned the spotlight on the security of open-source software and how it is at the core of so many systems that we rely on for e-commerce. For vulnerabilities in proprietary software we just need to rely on a single vendor to provide a patch. However, when it comes to open-source software, that software may be integrated into any number of applications and systems. This means that an administrator has to depend on a variety of vendors to supply patches. With ShellShock and Heartbleed there was a lot of confusion regarding the availability and effectiveness of patches. Hopefully this will serve as a wake-up call for how we need greater coordinated responses to open-source vulnerabilities, similar to the MAPP program. 

Moving forward, new threats like these will continue to be discovered in open-source programs. But while this is potentially a rich, new area for attackers, the greatest risk continues to come from vulnerabilities that are known, but where the appropriate patches aren’t being applied. This year’s Internet Security Threat Report showed that 77 percent of legitimate websites had exploitable vulnerabilities. So, yes, in 2015 we’ll see attackers using Heartbleed or ShellShock, but there are hundreds of other unpatched vulnerabilities that hackers will continue to exploit with impunity.

Coordinated cyberespionage and potential cybersabotage: Dragonfly and Turla
The Dragonfly group, which appears to have been in operation since at least 2011, initially targeted defense and aviation companies in the US and Canada, before shifting its focus mainly to energy firms in early 2013. Capable of launching attacks through several different vectors, its most ambitious attack campaign compromised a number of industrial control system (ICS) equipment providers, infecting their software with a remote access-type Trojan. This gave the attackers full access to systems where this software was installed. While this provided the attackers with a beachhead into target organizations in order to carry out espionage activities, many of these systems were running ICS programs used to control critical infrastructure such as petroleum pipelines and energy grids. While no cybersabotage was seen in these attacks, no doubt the attackers had the ability and could have launched such attacks at any time. Perhaps they chose to lie in wait and were interrupted before they could move on. 

Dragonfly also used targeted spam email campaigns and watering hole attacks to infect targeted organizations. Similarly, the group behind the Turla malware also uses a multi-pronged attack strategy to infect victims through spear-phishing emails and watering hole attacks. The watering hole attacks display extremely targeted compromise capabilities, with the attackers compromising a range of legitimate websites and only delivering malware to victims visiting from pre-selected IP address ranges. The attackers would also save their most sophisticated surveillance tools for high-value targets. Turla’s motives are different to Dragonfly, however. The Turla attackers are carrying out long-term surveillance against embassies and government departments, a very traditional form of espionage. 

Both the Dragonfly and Turla campaigns bear the hallmarks of state-sponsored operations, displaying a high degree of technical capability and resources. They are able to mount attacks through multiple vectors and compromised numerous third-party websites, with their apparent purpose being cyberespionage—and sabotage as a secondary capability for Dragonfly. 

These campaigns are just examples of the many espionage campaigns we see on an almost daily basis. This is a global problem and shows no sign of abating, with attacks such as Sandworm also leveraging a number of zero-day vulnerabilities. Given the evidence of deep technical and financial resources these attacks are very likely state-sponsored. 

Credit cards in the crosshairs
The lucrative business of selling stolen credit or debit card data on the black market makes these cards a prime target for bad guys. 2014 saw several high-profile attacks targeting point-of-sale (POS) systems to obtain consumers’ payment card information. One factor making the US a prime target is the failure to adopt the chip-and-PIN system, known as EMV (Europay, MasterCard and VISA), which offers more security than magnetic stripe-based cards. The attacks used malware which can steal the information from the payment card’s magnetic stripe as it is read by the computer and before it is encrypted. This stolen information can then be used to clone that card. Because EMV card transaction information is uniquely encoded every time, it’s harder for criminals to pick up useful payment data pieces and use them again for another purchase. However, EMV cards are just as susceptible to being used for fraudulent online purchases.

Apple Pay, which basically turns your mobile phone into a “virtual wallet” by using near-field communication (NFC) technology, was also launched in 2014. NFC is a type of communication that involves wirelessly transmitting data from one hardware device to another physical object nearby, in this case a cash register. 

While NFC payment systems have been around for a while now, we expect to see an uptick in consumer adoption of this technology in the coming year, as more smartphones support the NFC standard. It’s worth noting that while NFC systems are more secure than magnetic stripes, there is still a possibility of hackers exploiting them, although this would require the bad guys to target individual cards and wouldn’t result in large scale breaches or theft like we have seen in the US. However, the payment technology used won’t protect against retailers who aren’t storing payment card data securely, they’ll still need to be vigilant in protecting stored data. 

Increased collaboration with law enforcement 
Now, for a bit of good news: 2014 saw many examples of international law enforcement teams taking a more active and aggressive stance on cybercrime by increasingly collaborating with the online security industry to take down cybercriminals.

Blackshades is a popular and powerful remote access Trojan (RAT) that is used by a wide spectrum of threat actors, from entry-level hackers right up to sophisticated cybercriminal groups. In May of 2014, the FBI, Europol, and several other law enforcement agencies arrested dozens of individuals suspected of cybercriminal activity centered on the use of Blackshades (also known as W32.Shadesrat). Symantec worked closely with the FBI in this coordinated takedown effort, providing information that allowed the agency to track down those suspected of involvement. 

Just one month later, the FBI, the UK’s National Crime Agency, and a number of international law enforcement agencies, working in tandem with Symantec and other private sector parties, significantly disrupted two of the world’s most dangerous financial fraud operations: the Gameover Zeus botnet and the Cryptolocker ransomware network. This resulted in the FBI seizing a large amount of infrastructure used by both threats. 

While these takedowns are part of an ongoing effort, we won’t see cybercrime disappearing overnight. Both private industry and law enforcement will need to continue to cooperate to have long-lasting impact. As the rate and sophistication of cyberattacks grows, we expect to see a continuation of this trend of collaboration to track down cybercriminals and stop them in their tracks.

So, there you have it, my take on the four most important online security events of 2014. Of course, there’s still a few weeks left before we ring in 2015, so we may yet see other events arise, but you can trust that Symantec is here and that we’ve got your back, no matter what the future may bring!