OPERATION WINDIGO: Malware Used To Attack Over 500,000 Computers Daily After 25,000 UNIX Servers Hijacked By Backdoor Trojan

Security researchers at ESET®, in collaboration with CERT-Bund, the Swedish National Infrastructure for Computing as well as other agencies, have uncovered a widespread cybercriminal campaign that has seized control of over 25,000 Unix servers worldwide.

The attack, which has been dubbed "Operation Windigo" by security experts, has resulted in infected servers sending out millions of spam emails. Its complex knot of sophisticated malware components are designed to hijack servers, infect the computers that visit them, and steal information.

Victims of “Operation Windigo” have included cPanel and kernel.org.

ESET's security research team, which uncovered Windigo, today published a detailed technical paper, presenting the findings of the team’s investigations and malware analysis. The paper also provides guidance on how to find out if your systems are affected and instructions for removing the malicious code. 

OPERATION WINDIGO: Gathering Strength For Over Three Years

While some experts have spotted elements of the Windigo cybercriminal campaign, the sheer size and complexity of the operation has remained largely unrealised by the security community.

"Windigo has been gathering strength, largely unnoticed by the security community, for over two and a half years, and currently has 10,000 servers under its control," said ESET security researcher Marc-Étienne Léveillé.  "Over 35 million spam messages are being sent every day to innocent users' accounts, clogging up inboxes and putting computer systems at risk.  Worse still, each day over half a million computers are put at risk of infection, as they visit websites that have been poisoned by web server malware planted by Operation Windigo redirecting to malicious exploit kits and advertisements."

Interestingly, although Windigo-affected websites attempt to infect visiting Windows computers with malware via an exploit kit, Mac users are typically served adverts for dating sites and iPhone owners are redirected to pornographic online content.

An Appeal To Sysadmins To Take Action Against Windigo

Over 60% of the world's websites are running on Linux servers, and ESET researchers are calling on webmasters and system administrators to check their systems to see if they have been compromised.

"Webmasters and IT staff already have a lot of headaches and things on their mind, so we hate to add to their workload - but this is important.  Everyone wants to be a good net citizen, and this is your chance to play your part and help protect other internet users," says Léveillé.  "The last thing anyone should want is to be part of the problem, adding to the spread of malware and spam.  A few minutes can make the difference, and ensure you are part of the solution."

How To Tell If Your Server Has Fallen Foul Of Windigo

ESET researchers, who named Windigo after a mythical creature from Algonquian Native American folklore because of its cannibalistic nature, are appealing for Unix system administrators and webmasters to run the following command which will tell them if their server is compromised or not:

$ ssh -G 2>&1 | grep -e illegal -e unknown > /dev/null && echo "System clean" || echo "System infected"

Tough Medicine For Windigo Victims

"The Ebury backdoor deployed by the Windigo cybercrime operation does not exploit a vulnerability in Linux or OpenSSH," continued Léveillé. "Instead it is manually installed by a malicious attacker. The fact that they have managed to do this on tens of thousands of different servers is chilling. While anti-virus and two factor authentication is common on the desktop, it is rarely used to protect servers, making them vulnerable to credential stealing and easy malware deployment."

If sysadmins discover their systems are infected, they are advised to wipe affected computers and reinstall the operating system and software.  It is essential that fresh passwords and private keys are used, as the existing credentials must be considered compromised.

For a higher level of protection in future, technology such as two-factor authentication should be considered.

"We realise that wiping your server and starting again from scratch is tough medicine, but if hackers have stolen or cracked your administrator credentials and had remote access to your servers, you cannot take any risks," explains Léveillé.  "Sadly, some of the victims we have been in touch with know that they are infected, but have done nothing to clean up their systems - potentially putting more internet users in the firing line."

All computer users are reminded that they should never reuse or choose easy-to-crack passwords.

Further Information

ESET has published a detailed investigation into the "Operation Windigo" cybercrime campaign, and the various malware components which make up the threat.

To download the full report, please visit welivesecurity.com/windigo.

To follow the developing story on Facebook, Google+ or Twitter, please use hashtag #windigo

Surveillance des marchés financiers : la solution Apama intègre des scénarios de détection de manipulation de taux

La solution Apama de Software AG permet aux responsables conformité d’anticiper certaines distorsions du marché comme la pratique du ‘banging the close’ ou les fraudes commises lors du fixing londonien de l’après-midi.

Software AG (TecDAX Francfort : SOW) ajoute une nouvelle fonctionnalité à sa solution Apama: un système d’alertes en cas de manipulation des changes (Forex, Foreign Exchange) ou de fraude lors de la fixation des taux de référence. Développé avec plusieurs grandes banques, ce nouveau système d’alertes offre aux responsables ‘conformité’ un outil de surveillance approfondie des activités de trading. Ainsi, ils peuvent détecter les manipulations des taux de change, les fraudes sur les transactions de liquidités ainsi que d’autres comportements suspects. Par ailleurs,  grâce à ce système, les institutions financières peuvent créer en temps réel des scénarios de détection sur mesure, répondre aux besoins spécifiques des entreprises et adapter la surveillance aux dernières exigences réglementaires.

‘La détection des fraudes et des manipulations n’est pas une tâche à la portée de tous. Il faut disposer d’un système de surveillance puissant, pouvant être adapté au profil et aux activités de chaque banque. Les alertes sur les taux de change de référence ne sont pas génériques, dès lors les solutions ‘clé en main’ sont déjà dépassées avant qu’elles ne soient commercialisées’, explique John Bates, directeur des technologies IBO et Big Data chez Software AG.

La réponse rapide de Software AG aux enjeux de réglementation des marchés se base en partie sur sa grande expertise et le savoir-faire technique éprouvé des solutions Apama, reconnues comme leader du secteur en la matière. En combinant front-office et middle-office pour les opérations de change, les solutions Apama ont obtenu la confiance des institutions financières qui font appel à Software AG pour implémenter les meilleures pratiques de mise en conformité réglementaire. La solution Apama de Software AG est utilisée au niveau mondial par les plus grandes banques pour le contrôle des marchés de change au comptant à terme.

John Bates ajoute : ‘Il est primordial de pouvoir configurer son système en fonction des besoins des institutions ou des investisseurs, qu’il s’agisse de trading électronique ou de voice trading, d’un marché organisé ou de gré à gré, ainsi que d’autres schémas d’investissement. Les pourcentages et les périodes d’exécution des ordres varient aussi sensiblement d’une catégorie d’actifs à l’autre tout comme les pratiques acceptées dans une institution avant et au moment de la fixation du cours. Notre approche est simple : nous travaillons en étroite collaboration avec nos clients pour créer les alertes de surveillance qui leur conviennent. Notre solution de contrôle et de surveillance des marchés est la seule à proposer une telle approche.’

Les équipes de conformité des banques et des sociétés de gestion peuvent ainsi détecter les plus petites anomalies au niveau des transactions et en déterminer rapidement la cause. Par ailleurs, les alertes peuvent enclencher un processus d’ouverture d’enquête par la création automatique d’un dossier et le lancement d’un workflow.

‘La capacité à réagir rapidement aux changements de réglementation et aux anomalies de marché dans l’espace d’une fraction de seconde séparent les banques dignes de confiance de celles qui feront les gros titres lors du prochain scandale financier. Face à la croissance du trading électronique, il serait naïf de croire que les solutions actuelles de surveillance et de contrôle des marchés peuvent faire le poids. Ce serait comme pourchasser des Ferraris à bicyclette. Grâce à la solution Apama, les équipes conformité prennent le contrôle, élaborent des scénarios de détection et définissent les workflows selon leurs propres besoins’, souligne John Bates.

Software AG dispose de technologies de pointe pour la surveillance de marché, y compris des outils de gestion de données in-memory, de gestion analytique et d’aide à la décision, plus puissantes que toutes les autres solutions disponibles actuellement sur le marché. La gestion des données in-memory regroupe messagerie haute performance et grilles de données in-memory afin que sa collecte et la mise en mémoire de données soient rapide. Ces données sont alors disponibles et analysables en quelques millisecondes. La solution est basée sur un moteur de traitement des événements complexes (Complex Event Processing) permettant l’analyse des données lors de leur collecte et d’une mise en corrélation des différentes données (ou événements de trading). Un tableau de bord analytique présente visuellement toutes les alertes concernant les taux de change de référence et cela au moyen d’une carte, d’un graphique ou d’une autre représentation intuitive

Apama, la solution leader pour les applications ultra rapides pour les marchés de capitaux, est basée sur le traitement des événements complexes permettant la mise en oeuvre d’applications multi-actifs sophistiquées pour le trading à faible latence, la gestion des risques et de la conformité. Combinant facilité de développement et puissance de déploiement, la solution Apama offre des performances inégalées sur les marchés financiers. Elle est utilisée par plus de 40 institutions financières, dont 8 des plus grandes banques mondiales (Unicredit, la Banque Royale du Canada et le groupe ANZ, etc..).

A propos de Software AG
Software AG (Frankfort TecDAX: SOW) aide les organisations à atteindre plus rapidement leurs objectifs professionnels. Les technologies Big Data, d’intégration et de processus métier de l’entreprise permettent à ses clients de gagner en efficacité opérationnelle, de moderniser leurs systèmes et d’optimiser leurs processus afin de prendre des décisions plus avisées et d’offrir un meilleur service. Forte de plus de 40 ans d’innovations orientées client, la société figure comme leader dans quatorze secteurs du marché grâce à ses produits de pointe tels qu’Adabas-Natural, ARIS, Alfabet, Apama, Terracotta et webMethods. Software AG compte plus de 5.200 employés dans 70 pays et a réalisé, en 2013, un chiffre d’affaires d’environ €973 millions (IFRS non encore audité). Plus d’informations sur www.softwareag.com.

Software AG - Get There Faster