Publikované 05.12.2017 Napísal v kategórii Bezpečnosť a 343 Views

ESET sa spojil s Microsoftom, FBI a Interpolom. Narušili činnosť botnetu Gamarue | Bezpečnosť

Bezpečnostní výskumníci spoločnosti ESET v spolupráci s Microsoftom a orgánmi činnými v trestnom konaní – americkým Federálnym úradom pre vyšetrovanie (FBI), Interpolom, Europolom a ďalšími zúčastnenými stranami – narušili činnosť kybernetického botnetu, ktorý infikoval obete od roku 2011.

Koordinované zastavenie botnetu zvaného Gamarue, ktorý ESET deteguje pod menom Win32/TrojanDownloader.Wauchos, začalo v stredu 29. novembra 2017. Jeho výsledkom je jedno zatknutie a narušenie skupiny škodlivého kódu, ktorý dokázal každý mesiac infikovať 1,1 milióna zariadení.

Výskumníci ESETu a Microsoftu poskytli kompetentným orgánom technickú analýzu, štatistické informácie a známe domény riadiacich a kontrolných serverov. ESET sa taktiež podelil o svoje staršie znalosti o Gamarue, ktoré získal pri dlhodobom monitoringu tohto škodlivého kódu a jeho dopadu na zariadenia obetí.

Mapa rozšírenia botnetu Gamarue/Wauchos z decembra 2016.

Čo je Gamarue?

Cieľom malvéru Gamarue bolo kradnúť z infikovaných zariadení prihlasovacie údaje a zároveň do nich sťahovať dodatočný škodlivý kód. Kyberkriminálnici vytvorili Gamarue v septembri 2011 a predávali ho ako balíček služieb na Darknete. Celá rodina škodlivého kódu predstavuje nastaviteľný bot, ktorý svojmu majiteľovi umožňuje vytvárať a používať ďalšie pluginy. Jeho popularita spôsobila, že vzniklo viacero nezávislých Gamarue botnetov. ESET zistil, že sa po celom svete šírili cez sociálne médiá, online chat, vymeniteľné médiá, spam a exploit kity.

„V minulosti bol Wauchos alebo Gamarue jednou z najviac rozšírených malware rodín snažiacich sa napadnúť ESET používateľov. Keď sa nás preto Microsoft spýtal, či sa pripojíme k pokusu o zastavenie tohto botnetu, vôbec sme nad odpoveďou nemuseli rozmýšľať,“ hovorí Jean-Ian Boutin, výskumník škodlivého kódu zo spoločnosti ESET.

Ako získali výskumníci ESETu a Microsoftu informácie o tejto hrozbe?

Vďaka službe ESET Threat Intelligence dokázali výskumníci ESETu vytvoriť bot, ktorý mohol komunikovať s riadiacim a kontrolným serverom tejto hrozby. ESET a Microsoft mohli preto Gamarue botnet 18 mesiacov sledovať, identifikovať jeho riadiace a kontrolné servery a monitorovať, ako aj to, čo presne bolo inštalované na zariadenia obetí. Obe spoločnosti vytvorili zoznam všetkých domén, ktoré kyberkriminálnici používali ako svoje riadiace a kontrolné servery.

„V minulosti bol Wauchos alebo Gamarue jednou z najviac rozšírených malware rodín snažiacich sa napadnúť ESET používateľov. Keď sa nás preto Microsoft spýtal, či sa pripojíme k pokusu o zastavenie tohto botnetu, vôbec sme nad odpoveďou nemuseli rozmýšľať,“ hovorí Jean-Ian Boutin, výskumník škodlivého kódu zo spoločnosti ESET.

Čo by mali spraviť používatelia, ktorí si myslia, že môžu mať infikované zariadenia?

Útočníci zvykli používať Gamarue na kradnutie prihlasovacích údajov domácich používateľov, ktoré obete vypisovali do rôznych online formulárov. ESET výskumníci sa však nedávno stretli aj s tým, že škodlivý kód inštaloval do infikovaných zariadení aj spam botov.

ESET odporúča používateľom, ktorí sa obávajú, že ich zariadenie s operačným systémom Windows môže byť infikované, aby si stiahli a nainštalovali spoľahlivé viacvrstvové bezpečnostné riešenie alebo jednoducho jednorazovo použili ESET Online Scanner. Ten dokáže odstrániť hrozby z infikovaného zariadenia aj bez administrátorských práv.

Zdroj: TS

Tagy : , , , ,