Współpraca kilku firm doprowadziła do unieszkodliwienia botnetu

5 grudnia, 2017

Badacze bezpieczeństwa z ESET we współpracy z firmą Microsoft i organami ściągania – m.in. z FBI, Interpolem, Europolem – zlikwidowali groźny botnet Wauchos, znany również jako Gamarue/Andromeda, który od 2011 infekował komputery nieświadomych użytkowników na całym świecie. Poddawany wielokrotnym modyfikacjom botnet Wauchos miesięcznie atakował ponad milion maszyn. Próbki złośliwego oprogramowania były rozpowszechniane za pośrednictwem mediów społecznościowych, komunikatorów, nośników pamięci, spamu, a także zestawów exploitów.

Operacja unieszkodliwienia botnetu Wauchos została przeprowadzona na przełomie listopada i grudnia br. Groźna sieć została unieszkodliwiona dzięki wspólnej pracy ekspertów ESET, Microsoft oraz kooperacji międzynarodowych organów ścigania. Firma ESET na przestrzeni lat obserwowała poddawany modyfikacjom botnet, dzięki czemu mogła zidentyfikować kontrolowane serwery oraz instalowane oprogramowanie. Z wykorzystaniem usługi ESET Threat Intelligence badacze zbudowali specjalnego bota, który mógł komunikować się ze zdalnym serwerem kontrolowanym przez cyberprzestępców. Dzięki temu programowi, eksperci z ESET i Microsoft byli w stanie monitorować botnet przez ostatnie 1,5 roku, identyfikując jego serwery, a także monitorując, jakie oprogramowanie zostało zainstalowane na komputerach ofiar.

Mapa botnet
Mapa obrazująca okres największej aktywności botnetu Wauchos.

Botnet Wauchos to kontrolowana przez cyberprzestępców sieć komputerów, która stanowi globalny problem od co najmniej września 2011 roku. Wspomniany botnet, znany również jako Gamarue/Andromeda, został sklasyfikowany przez ekspertów z ESET jako Win32/TrojanDownloader.Wauchos.

Botnet, w ciągu ostatnich lat, dystrybuowany był wśród cyberprzestępców na podziemnych forach, przez co ulegał wielokrotnym modyfikacjom. Jego nowe wersje z biegiem czasu stawały się coraz bardziej zaawansowane. Nie tylko próbowały omijać mechanizmy bezpieczeństwa programów antywirusowych, ale także były wyposażane w nowe funkcjonalności, takie jak: rozprzestrzenianie się z wykorzystaniem pamięci przenośnych USB, ukrywanie się w rejestrze systemu (w postaci zaszyfrowanej), sprawdzanie języka klawiatury (jeśli złośliwe oprogramowanie wykryje język rosyjski, ukraiński, białoruski lub kazachski, zaprzestanie dalszej infekcji).

Czy ten artykuł był pomocny?

Oceniono: 0 razy

PODZIEL SIĘ:

guest
0 komentarzy
najstarszy
najnowszy oceniany
Inline Feedbacks
View all comments

Zapisz się na newsletter

Informacje o cyberbezpieczeństwie prosto na skrzynkę pocztową!

Dodatkowo otrzymasz poradnik „Jak bezpiecznie funkcjonować w cyfrowym świecie”

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]