ESET sa spojil s Microsoftom, FBI a Interpolom. Narušili činnosť botnetu Gamarue

Bezpečnostní výskumníci spoločnosti ESET v spolupráci s Microsoftom a orgánmi činnými v trestnom konaní – americkým Federálnym úradom pre vyšetrovanie (FBI), Interpolom, Europolom a ďalšími zúčastnenými stranami – narušili činnosť kybernetického botnetu, ktorý infikoval obete od roku 2011.

Koordinované zastavenie botnetu zvaného Gamarue, ktorý ESET deteguje pod menom Win32/TrojanDownloader.Wauchos, začalo v stredu 29. novembra 2017. Jeho výsledkom je jedno zatknutie a narušenie skupiny škodlivého kódu, ktorý dokázal každý mesiac infikovať 1,1 milióna zariadení.

Výskumníci ESETu a Microsoftu poskytli kompetentným orgánom technickú analýzu, štatistické informácie a známe domény riadiacich a kontrolných serverov. ESET sa taktiež podelil o svoje staršie znalosti o Gamarue, ktoré získal pri dlhodobom monitoringu tohto škodlivého kódu a jeho dopadu na zariadenia obetí.

Mapa rozšírenia botnetu Gamarue/Wauchos z decembra 2016.

Čo je Gamarue?
Cieľom malvéru Gamarue bolo kradnúť z infikovaných zariadení prihlasovacie údaje a zároveň do nich sťahovať dodatočný škodlivý kód. Kyberkriminálnici vytvorili Gamarue v septembri 2011 a predávali ho ako balíček služieb na Darknete. Celá rodina škodlivého kódu predstavuje nastaviteľný bot, ktorý svojmu majiteľovi umožňuje vytvárať a používať ďalšie pluginy. Jeho popularita spôsobila, že vzniklo viacero nezávislých Gamarue botnetov. ESET zistil, že sa po celom svete šírili cez sociálne médiá, online chat, vymeniteľné médiá, spam a exploit kity.

Ako získali výskumníci ESETu a Microsoftu informácie o tejto hrozbe?
Vďaka službe Threat Intelligence dokázali výskumníci ESETu vytvoriť bot, ktorý mohol komunikovať s riadiacim a kontrolným serverom tejto hrozby. ESET a Microsoft mohli preto Gamarue botnet 18 mesiacov sledovať, identifikovať jeho riadiace a kontrolné servery a monitorovať, čo presne bolo inštalované na zariadenia obetí. Obe spoločnosti vytvorili zoznam všetkých domén, ktoré kyberkriminálnici používali ako svoje riadiace a kontrolné servery.

„V minulosti bol Wauchos alebo Gamarue jednou z najviac rozšírených malware rodín snažiacich sa napadnúť ESET používateľov. Keď sa nás preto Microsoft spýtal, či sa pripojíme k pokusu o zastavenie tohto botnetu, vôbec sme nad odpoveďou nemuseli rozmýšľať,“  hovorí Jean-Ian Boutin, výskumník škodlivého kódu zo spoločnosti ESET. „Táto konkrétna hrozba žije svojim životom už niekoľko rokov a neustále sa vyvíja, kvôli čomu sa ťažko monitoruje. Ale vďaka ESET Threat Intelligence a spolupráci s výskumníkmi z Microsoftu sme dokázali odsledovať zmeny v správaní Gamarue a tým pádom poskytnúť údaje, ktoré sú pri takýchto pokusoch o zastavenie botnetu neoceniteľné,“ dodáva Boutin.

Útočníci zvykli používať Gamarue na kradnutie prihlasovacích údajov domácich používateľov, ktoré obete vypisovali do rôznych online formulárov. Výskumníci sa však nedávno stretli aj s tým, že škodlivý kód inštaloval do infikovaných zariadení aj spam botov.

ESET odporúča používateľom, ktorí sa obávajú, že ich zariadenie s operačným systémom Windows môže byť infikované, aby si stiahli a nainštalovali spoľahlivé viacvrstvové bezpečnostné riešenie alebo jednorazovo použili Online Scanner. Ten dokáže odstrániť hrozby z infikovaného zariadenia aj bez administrátorských práv.