Ewolucja złośliwego oprogramowania 2010

Przeczytaj także: Złośliwe oprogramowanie. Ransomware uderza w dyski NAS

Aresztowania cyberprzestępców i zamknięcia botnetów

W latach 2008-2009 sukcesem zakończyły się działania przeciwko nielegalnym firmom i usługom hostingowym podejmowane przez organy ścigania i inne, dostawców usług telekomunikacyjnych oraz branżę antywirusową. Pierwszy krok został poczyniony w 2008 roku, gdy zamknięto takie serwisy jak McColo, Atrivo oraz EstDomains. W 2009 roku podjęto dalsze działania, w wyniku których do zaprzestania swojej działalności zostały zmuszone McColo, Atrivo oraz EstDomains.

Na początku 2010 roku usunięto niektóre serwery kontroli wykorzystywane przez botnet stworzony przez robaka Email-Worm.Win32.Iksmas, znanego również jako Waledac. Botnet ten był znany z przeprowadzanych na dużą skalę ataków spamowych, w których każdego dnia wysyłanych było do 1,5 miliarda wiadomości spamowych stosujących przykuwające uwagę newsy w celu przekonania użytkowników do kliknięcia odsyłaczy, prowadzących między innymi do szkodliwego oprogramowania o nazwie Iksmas. Szkodnik ten wykorzystywał polimorfizm po stronie serwera bota w oparciu o technologię fast-flux.

Latem hiszpańska policja aresztowała właścicieli jednego z większych botnetów - Mariposa. Botnet ten został stworzony przy użyciu robaka P2P-Worm.Win32.Palevo. Szkodnik ten rozprzestrzenia się przy użyciu sieci P2P, komunikatorów internetowych oraz funkcji autorun, która uruchamia pliki wykonywalne zlokalizowane na dowolnym urządzeniu przenośnym, takim jak aparaty cyfrowe czy pamięci USB. Główną metodą zarabiania na robaku Palevo było sprzedawanie i wykorzystywanie poufnych informacji o użytkowniku gromadzonych z zainfekowanych maszyn, w szczególności loginów i haseł do bankowości online oraz różnych innych usług. Następnie w Słowenii aresztowano cztery osoby, oskarżone o stworzenie szkodliwego kodu robaka na zamówienie hiszpańskich “klientów”. Zgodnie z szacunkami ekspertów, botnet Mariposa mógł liczyć 12 milionów maszyn, stanowiąc jeden z największych botnetów w historii Internetu.

Wiosną aresztowano członka gangu o nazwie ‘RBS hack’, który został skazany we wrześniu. W 2009 roku w mediach głośno było o kradzieży ponad 9 milionów dolarów z bankomatów zlokalizowanych na całym świecie. Chociaż przestępstwo to było poważne, a skradziona kwota spora, sąd w Petersburgu skazał sprawców na 6 lat więzienia w zawieszeniu. Kolejny członek gangu został aresztowany w Estonii i poddany ekstradycji do Stanów Zjednoczonych, gdzie obecnie czeka na wyrok. Następnie aresztowano dwóch kolejnych członków gangu, jednego we Francji, drugiego w Rosji.

Jesienią miały miejsce masowe aresztowania cyberprzestępców związanych z tworzeniem ZeuSa. Pod koniec września w Stanach Zjednoczonych aresztowano dwadzieścia osób z Rosji, Ukrainy i innych państw Europy Wschodniej. Osoby te pełniły funkcję tzw. mułów pieniężnych biorących udział w procederze prania brudnych pieniędzy, tj. pieniędzy skradzionych przy użyciu trojana. W tym samym czasie pod podobnymi zarzutami aresztowano grupę osób w Wielkiej Brytanii.

Niedługo po tych zdarzeniach domniemany autor ZeuSa ogłosił na wielu forach odwiedzanych przez rosyjskojęzycznych cyberprzestępców, że “odchodzi z biznesu” i przekazuje kod źródłowy trojana oraz jego moduły innemu twórcy.

W połowie października zamknięto kolejny znany botnet, tym razem stworzony przy użyciu trojana Bredolab. W rzeczywistości działało kilka botnetów, a nie tylko jeden, kontrolowanych z ponad stu serwerów kontroli. Wszystkie z nich zostały zamknięte w wyniku operacji przeprowadzonej wspólnie przez oddziały do zwalczania cyberprzestępczości internetowej policji holenderskiej oraz francuskiej. W momencie zamknięcia największa gałąź botnetu obejmowała ponad 150 000 zainfekowanych maszyn. Właścicielem botnetu okazał się Ormianin. Osoba ta pozostawała przez kilka miesięcy pod obserwacją policji, zanim, po przybyciu z Moskwy, została aresztowana na lotnisku Yerevan. Jest podejrzewana o prowadzenie nielegalnego biznesu z innymi cyberprzestępcami w Rosji. Istnieją dowody na to, że prowadziła działalność cyberprzestępczą od ponad 10 lat i odpowiada za wiele przeprowadzonych na dużą skalę ataków DDoS oraz wysyłek spamowych. Innym źródłem jej nielegalnych dochodów było wydzierżawianie lub sprzedaż części botnetu innym przestępcom.