Botnet Rmnet ciągle aktywny
2015-03-05 15:42
Przeczytaj także: Botnety coraz groźniejsze
Zgodnie z wiadomościami prasowymi, 24 lutego 2015 serwery kontrolno-zarządzające botnetu Rmnet były wyłączone dzięki wspólnym działaniom kilku organizacji. Operacja ta zaangażowała Europejskie Centrum Zwalczania Cyberprzestępczości działające w ramach Europolu, CERT-EU, Symantec, Microsoft, AnubisNetworks i inne organizacje europejskie. Przykładowo na stronie Europolu podano, że specjaliści d/s bezpieczeństwa IT zdołali przechwycić około 300 adresów domen internetowych zawierających serwery kontrolno-zarządzające wygenerowane przez ten złośliwy program, a agencja Reuters informuje, że 7 serwerów kontrolno-zarządzających zostało wyłączonych podczas tej operacji. Zgodnie z informacją podaną przez Symantec, ta operacja dezaktywowała botnet zawierający 350 000 zarażonych urządzeń, a bazując na informacjach z Microsoftu, ich całkowita liczba mogła osiągnąć 500 000.Analitycy bezpieczeństwa Doctor Web monitorują kilka podsieci botnetu, stworzonych przez hakerów z użyciem różnych wersji wirusa Rmnet. Tak więc, modyfikacja nazwana Win32.Rmnet.12 jest znana od września 2011. Win32.Rmnet.12 jest złożonym, wielokomponentowym wirusem zarażającym pliki, składającym się z kilku modułów. Posiada zdolność do samoreplikacji. Może wykonywać polecenia wydawane przez przestępców, osadzać treści w załadowanych stronach www (co teoretycznie pozwala cyberprzestępcom na uzyskanie dostępu do informacji o kontach bankowych ofiar), jak i wykradać "ciasteczka" i hasła zapisane w popularnych klientach FTP, takich jak Ghisler, WS FTP, CuteFTP, FlashFXP, FileZilla, Bullet Proof FTP i innych.
Późniejsza modyfikacja wirusa, Win32.Rmnet.16, różni się od swojego poprzednika kilkoma funkcjami architektury, takimi jak wykorzystywanie podpisu cyfrowego podczas wyboru serwera kontrolno-zarządzającego. Wirus jest w stanie również wykonywać komendy pobierania i uruchamiania niezależnych plików, dokonywać samoaktualizacji, wykonywać zrzuty z ekranu i wysyłać je do cyberprzestępców, jak i uczynić system operacyjny niezdolnym do dalszej pracy. Ponadto jeden z modułów potrafi unieszkodliwiać główne procesy popularnych programów antywirusowych. Tak jak jego poprzednik, Win32.Rmnet.16 potrafi modyfikować główny sektor rozruchowy (MBR) dysku i zapisywać pliki na końcu obszaru dysku w formie zaszyfrowanej.
fot. kentoh - Fotolia.com
Botnet Rmnet ciągle aktywny
Pomimo faktu, że liczne agencje prasowe raportowały o udanej operacji mającej na celu zablokowanie aktywności botnetu Rmnet, eksperci Doctor Web nie odnotowali żadnego spadku aktywności botnetów monitorowanych przez swoje laboratorium antywirusowe.
Pomimo faktu, że liczne agencje prasowe raportowały o udanej operacji mającej na celu zablokowanie aktywności botnetu Rmnet, eksperci Doctor Web nie odnotowali żadnego spadku aktywności botnetów monitorowanych przez swoje laboratorium antywirusowe. Do tej pory analitycy bezpieczeństwa Doctor Web dowiedzieli się o przynajmniej 12 podsieciach botnetu Rmnet, korzystających z algorytmu generowania domen serwerów kontrolno-zarządzających i o co najmniej dwóch podsieciach Win32.Rmnet.12, nie używających funkcji automatycznego generowania domen (specjaliści firmy Symantec zablokowali jedną z podsieci o inicjatorze 79159c10 należącą do pierwszej z wymienionych kategorii).
Przykładowo, dwie podsieci Win32.Rmnet.12 wciąż infekują 250 - 270 tysięcy hostów dziennie, co zostało zilustrowane poniżej:
fot. mat. prasowe
Średnia dzienna aktywność pierwszej podsieci Win32.Rmnet.12
Pierwsza podsieć Win32.Rmnet.12 ciągle atakuje około 250 tysięcy hostów dziennie.
fot. mat. prasowe
Średnia dzienna aktywność drugiej podsieci Win32.Rmnet.12
Druga podsieć Win32.Rmnet.12 jest bardziej aktywna niż pierwsza, generuje około 300 tysięcy ataków dziennie.
Natomiast monitorowana przez analityków bezpieczeństwa Doctor Web podsieć wirusa Win32.Rmnet.16 wykazuje znacznie mniejszą dzienną aktywność, ale tu również nie widać "awarii" powiązanych z możliwym wyłączeniem serwerów kontrolno-zarządzających:
fot. mat. prasowe
Średnia dzienna aktywność botnetu Win32.Rmnet.16
Dzienna aktywność botnetu Win32.Rmnet.16 jest o wiele niższa niż w poprzednich przypadkach.
Podobna sytuacja ma miejsce w przypadku monitorowania komputerów zarażonych innym złośliwym modułem, znanym jako Trojan.Rmnet.19, co przedstawia poniższy wykres:
fot. mat. prasowe
Średnia dzienna aktywność botnetu Trojan.Rmnet.19
Aktywność botnetu Trojan.Rmnet.19 to około 500 zaatakowanych hostów dziennie.
![Ransomware w XII 2024. 86 ofiar FunkSec [© Florian Roth - Fotolia.com] Ransomware w XII 2024. 86 ofiar FunkSec](https://s3.egospodarka.pl/grafika2/ransomware/Ransomware-w-XII-2024-86-ofiar-FunkSec-264556-150x100crop.jpg)
oprac. : Aleksandra Baranowska-Skimina / eGospodarka.pl
Przeczytaj także
Skomentuj artykuł Opcja dostępna dla zalogowanych użytkowników - ZALOGUJ SIĘ / ZAREJESTRUJ SIĘ
Komentarze (0)