Operace proti botnetu Gamarue

Bezpečnostní experti ze společnosti ESET ve spolupráci se společností Microsoft a orgány činnými v trestním řízení několika zemí – americkým Federálním úřadem pro vyšetřování (FBI), Interpolem, Europolem a dalšími institucemi zajišťujícími kybernetickou bezpečnost dnes dokončili mezinárodní operaci proti provozovatelům zločinného botnetu Gamarue, který od roku 2011 ohrožoval uživatele internetu po celém světě. Malware, který tvoří tento botnet, ESET detekuje jako jako Win32 /TrojanDownloader.Wauchos.

Koordinovaný zásah začal 29. listopadu 2017 a díky společnému postupu mohly orgány činné v trestním řízení během jediného dne zatknout odpovědné osoby a znemožnit činnost rodiny malwaru, která je zodpovědná za infikování více než 1,1 milionu operačních systémů. Výzkumníci ze společností ESET a Microsoft sdíleli své technické analýzy, statistiky a informace o doménách, na kterých fungovaly vzdálené řídící servery (C&C), jejichž prostřednictvím skupina útočníků prováděla své zločinné aktivity. ESET rovněž poskytl svoje dosavadní informace o botnetu Gamarue, které získal nepřetržitým monitoringem tohoto malwaru a jeho dopadu na uživatele za posledních několik let.

Co je Gamarue?

„Gamarue, který je známý také jako Andromeda Bot, vytvořili v roce 2011 počítačoví zločinci a šířili jej ve své komunitě. Malware byl určen pro krádeže přístupových údajů a stahování dalšího malwaru do systému,“ říká Miroslav Dvořák, technický ředitel společnosti ESET. „Jedná se o bot, který lze upravit dle potřeby útočníka, a díky kterému může útočník vytvářet a používat vlastní škodlivé pluginy. Ty umožňovaly kyberzločincům řadu aktivit. Například krást data zadaná uživateli do webových formulářů či se vzdáleně připojit a ovládat napadené systémy,“ dodává Dvořák.

Popularita botnetu Gamarue vyústila ve vznik velkého množství jeho klonů. ESET zjistil, že vzorky tohoto malwaru byly distribuovány po celém světě prostřednictvím sociálních médií, zpráv, externích médií, spamu a pomocí dalších prostředků.

Jak ESET a Microsoft pronikli k správcům botnetu?

Experti společnosti ESET vytvořili za pomoci služby ESET Threat Intelligence bot, který mohl komunikovat s C&C serverem botnetu Gamarue. Díky tomu mohly společnosti ESET a Microsoft pečlivě monitorovat tyto aktivity a během uplynulého půldruhého roku identifikovat další C&C servery, které spravovaly napadené počítačové systémy obětí. Obě společnosti postupně sestavily seznam všech domén, na kterých fungovaly tyto řídící servery používané kyberzločinci.

„V minulosti byl Wauchos malwarem, který figuroval v našich statistikách na předních místech. Nyní se nám díky ESET Threat Intelligence a spolupráci s analytiky společnosti Microsoft podařilo vypozorovat změny v chování tohoto malwaru a následně získat informace, které jsme mohli použít pro jeho eliminaci,“ uzavírá Dvořák.