Bezpečnostní výskumníci spoločnosti ESET v spolupráci s Microsoftom a orgánmi činnými v trestnom konaní – americkým Federálnym úradom pre vyšetrovanie (FBI), Interpolom, Europolom a ďalšími zúčastnenými stranami – narušili činnosť kybernetického botnetu, ktorý infikoval obete od roku 2011.
Koordinované zastavenie botnetu zvaného Gamarue, ktorý ESET deteguje pod menom Win32/TrojanDownloader.Wauchos, začalo v stredu 29. novembra 2017. Jeho výsledkom je jedno zatknutie a narušenie skupiny škodlivého kódu, ktorý dokázal každý mesiac infikovať 1,1 milióna zariadení.
Výskumníci ESETu a Microsoftu poskytli kompetentným orgánom technickú analýzu, štatistické informácie a známe domény riadiacich a kontrolných serverov. ESET sa taktiež podelil o svoje staršie znalosti o Gamarue, ktoré získal pri dlhodobom monitoringu tohto škodlivého kódu a jeho dopadu na zariadenia obetí.
Mapa rozšírenia botnetu Gamarue/Wauchos z decembra 2016.
Čo je Gamarue?
Cieľom malvéru Gamarue bolo kradnúť z infikovaných zariadení prihlasovacie údaje a zároveň do nich sťahovať dodatočný škodlivý kód. Kyberkriminálnici vytvorili Gamarue v septembri 2011 a predávali ho ako balíček služieb na Darknete. Celá rodina škodlivého kódu predstavuje nastaviteľný bot, ktorý svojmu majiteľovi umožňuje vytvárať a používať ďalšie pluginy. Jeho popularita spôsobila, že vzniklo viacero nezávislých Gamarue botnetov. ESET zistil, že sa po celom svete šírili cez sociálne médiá, online chat, vymeniteľné médiá, spam a exploit kity.
Ako získali výskumníci ESETu a Microsoftu informácie o tejto hrozbe?
Vďaka službe ESET Threat Intelligence dokázali výskumníci ESETu vytvoriť bot, ktorý mohol komunikovať s riadiacim a kontrolným serverom tejto hrozby. ESET a Microsoft mohli preto Gamarue botnet 18 mesiacov sledovať, identifikovať jeho riadiace a kontrolné servery a monitorovať, čo presne bolo inštalované na zariadenia obetí. Obe spoločnosti vytvorili zoznam všetkých domén, ktoré kyberkriminálnici používali ako svoje riadiace a kontrolné servery.
„V minulosti bol Wauchos alebo Gamarue jednou z najviac rozšírených malware rodín snažiacich sa napadnúť ESET používateľov. Keď sa nás preto Microsoft spýtal, či sa pripojíme k pokusu o zastavenie tohto botnetu, vôbec sme nad odpoveďou nemuseli rozmýšľať,“ hovorí Jean-Ian Boutin, výskumník škodlivého kódu zo spoločnosti ESET. „Táto konkrétna hrozba žije svojim životom už niekoľko rokov a neustále sa vyvíja, kvôli čomu sa ťažko monitoruje. Ale vďaka ESET Threat Intelligence a spolupráci s výskumníkmi z Microsoftu sme dokázali odsledovať zmeny v správaní Gamarue a tým pádom poskytnúť údaje, ktoré sú pri takýchto pokusoch o zastavenie botnetu neoceniteľné,“ dodáva Boutin.
Čo by mali spraviť používatelia, ktorí si myslia, že môžu mať infikované zariadenia?
Útočníci zvykli používať Gamarue na kradnutie prihlasovacích údajov domácich používateľov, ktoré obete vypisovali do rôznych online formulárov. ESET výskumníci sa však nedávno stretli aj s tým, že škodlivý kód inštaloval do infikovaných zariadení aj spam botov.
ESET odporúča používateľom, ktorí sa obávajú, že ich zariadenie s operačným systémom Windows môže byť infikované, aby si stiahli a nainštalovali spoľahlivé viacvrstvové bezpečnostné riešenie alebo jednorazovo použili ESET Online Scanner. Ten dokáže odstrániť hrozby z infikovaného zariadenia aj bez administrátorských práv.
Obšírnejšia technická analýza je k dispozícii na ESET blogu WeLiveSecurity.com.
O spoločnosti ESET
Spoločnosť ESET už 30 rokov vyvíja popredný bezpečnostný softvér pre firmy i domácich používateľov na celom svete. Vďaka riešeniam chrániacim koncové a mobilné zariadenia, servery, šifrovaniu a dvojfaktorovej autentifikácii umožňuje firmám a organizáciám využívať plný potenciál ich technológií. ESET drží rekord v počte VB100 ocenení, ktoré udeľuje britský Virus Bulletin, vysoko-rešpektovaná nezávislá testovacia organizácia. Týždenník Trend ocenil ESET päťkrát titulom Firma roka.
ESET sídli v Bratislave, regionálne pobočky má v Prahe, ČR; Jene, Mníchove, Nemecko; Bournemouthe, Veľká Británia; San Diegu, USA; Toronte, Kanada; Buenos Aires, Argentína; Sydney, Austrália a Singapure. Výskumné a vývojové centrá sú okrem Bratislavy, Košíc, Žiliny, Prahy a Brna aj v San Diegu, poľskom Krakove, britskom Tauntone, kanadskom Montreale a rumunskom Jasy. ESET má zastúpenie vo viac ako 200 krajinách a územiach sveta.
