ESET sa spojil s Microsoftom, FBI a Interpolom. Narušili činnosť botnetu Gamarue

0

Bezpečnostní výskumníci spoločnosti ESET v spolupráci s Microsoftom a orgánmi činnými v trestnom konaní – americkým Federálnym úradom pre vyšetrovanie (FBI), Interpolom, Europolom a ďalšími zúčastnenými stranami – narušili činnosť kybernetického botnetu, ktorý infikoval obete od roku 2011.

Koordinované zastavenie botnetu zvaného Gamarue, ktorý ESET deteguje pod menom Win32/TrojanDownloader.Wauchos, začalo v stredu 29. novembra 2017. Jeho výsledkom je jedno zatknutie a narušenie skupiny škodlivého kódu, ktorý dokázal každý mesiac infikovať 1,1 milióna zariadení.

Výskumníci ESETu a Microsoftu poskytli kompetentným orgánom technickú analýzu, štatistické informácie a známe domény riadiacich a kontrolných serverov. ESET sa taktiež podelil o svoje staršie znalosti o Gamarue, ktoré získal pri dlhodobom monitoringu tohto škodlivého kódu a jeho dopadu na zariadenia obetí.

Mapa rozšírenia botnetu Gamarue/Wauchos z decembra 2016

Čo je Gamarue?

Cieľom malvéru Gamarue bolo kradnúť z infikovaných zariadení prihlasovacie údaje a zároveň do nich sťahovať dodatočný škodlivý kód. Kyberkriminálnici vytvorili Gamarue v septembri 2011 a predávali ho ako balíček služieb na Darknete. Celá rodina škodlivého kódu predstavuje nastaviteľný bot, ktorý svojmu majiteľovi umožňuje vytvárať a používať ďalšie pluginy. Jeho popularita spôsobila, že vzniklo viacero nezávislých Gamarue botnetov. ESET zistil, že sa po celom svete šírili cez sociálne médiá, online chat, vymeniteľné médiá, spam a exploit kity.

Ako získali výskumníci ESETu a Microsoftu informácie o tejto hrozbe?

Vďaka službe ESET Threat Intelligence dokázali výskumníci ESETu vytvoriť bot, ktorý mohol komunikovať s riadiacim a kontrolným serverom tejto hrozby. ESET a Microsoft mohli preto Gamarue botnet 18 mesiacov sledovať, identifikovať jeho riadiace a kontrolné servery a monitorovať, čo presne bolo inštalované na zariadenia obetí. Obe spoločnosti vytvorili zoznam všetkých domén, ktoré kyberkriminálnici používali ako svoje riadiace a kontrolné servery.

„V minulosti bol Wauchos alebo Gamarue jednou z najviac rozšírených malware rodín snažiacich sa napadnúť ESET používateľov. Keď sa nás preto Microsoft spýtal, či sa pripojíme k pokusu o zastavenie tohto botnetu, vôbec sme nad odpoveďou nemuseli rozmýšľať,“ hovorí Jean-Ian Boutin, výskumník škodlivého kódu zo spoločnosti ESET. „Táto konkrétna hrozba žije svojim životom už niekoľko rokov a neustále sa vyvíja, kvôli čomu sa ťažko monitoruje. Ale vďaka ESET Threat Intelligence a spolupráci s výskumníkmi z Microsoftu sme dokázali odsledovať zmeny v správaní Gamarue a tým pádom poskytnúť údaje, ktoré sú pri takýchto pokusoch o zastavenie botnetu neoceniteľné,“ dodáva Boutin.

Čo by mali spraviť používatelia, ktorí si myslia, že môžu mať infikované zariadenia?

Útočníci zvykli používať Gamarue na kradnutie prihlasovacích údajov domácich používateľov, ktoré obete vypisovali do rôznych online formulárov. ESET výskumníci sa však nedávno stretli aj s tým, že škodlivý kód inštaloval do infikovaných zariadení aj spam botov.

ESET odporúča používateľom, ktorí sa obávajú, že ich zariadenie s operačným systémom Windows môže byť infikované, aby si stiahli a nainštalovali spoľahlivé viacvrstvové bezpečnostné riešenie alebo jednorazovo použili ESET Online Scanner. Ten dokáže odstrániť hrozby z infikovaného zariadenia aj bez administrátorských práv.

Obšírnejšia technická analýza je k dispozícii na ESET blogu WeLiveSecurity.com.

Značky:

O autorovi

Máme radi najnovšie technológie a žijeme s nimi. Prinášame informácie o najnovších produktoch a technológiách priamo k vám, objektívne a ľudsky, pretože robíme to, čo nás baví. Sme energický tím plný odhodlania a veríme, že je s nami aj sranda. :)

Pridaj komentár