Zagrożenia internetowe I kw. 2012

Przeczytaj także: Ataki DDoS II poł. 2011

Hlux.b – rozbicie 2.0

Pod koniec marca 2012 r. Kaspersky Lab, we współpracy z CrowdStrike Intelligence Team, Dell SecureWorks oraz Honeynet Project, przejął kontrolę nad botnetem peer-to-peer o nazwie Hlux, który został oparty na drugim wariancie bota Hlux.b. W momencie działania botnet składał się z ponad 110 000 botów.

Jest to druga wersja bota Hlux.b, która została wykryta jesienią 2011 r., kilka tygodni po rozbiciu pierwszego botnetu Hlux. Wiosną 2012 r. bot zastępczy pojawił się znacznie szybciej: trzecia wersja bota - Hlux.c – została wykryta kilka dni po rozbiciu botnetu. Wszystkie nowe botnety modyfikowały sposób, w jaki ich boty komunikowały się ze sobą.

Pod względem dochodowości Hlux stanowi modelowy botnet dla cyberprzestępców. Kontrolujące go osoby biorą udział w praktycznie wszystkich rodzajach cyberprzestępczości: po załadowaniu różnych modułów bot potrafi rozprzestrzeniać spam, brać udział w atakach DDoS oraz kraść ważne informacje z komputerów. Osoby stojące za tym botnetem nie zrezygnują bez walki z tej „kury znoszącej złote jaja”. Dlatego dopóki cyberprzestępcy nie zostaną schwytani, po każdym przejęciu botnetu będą pojawiały się nowe wersje bota.

Czy przejmowanie kontroli nad botnetem jest efektywne? Z naszej perspektywy metoda ta jest warta stosowania. Najpierw, wyłączamy boty, które zostały już zainstalowane, zmniejszając tym samym liczbę aktywnie zainfekowanych komputerów. Następnie, utrudniamy życie cyberprzestępców, którzy muszą zmodyfikować swój kod i od nowa rozprzestrzeniać szkodliwe oprogramowanie, co jest kosztownym przedsięwzięciem. Możliwe są dalsze operacje przejmowania kontroli nad botnetem, chyba że do jego architektury zostaną wprowadzone poważne modyfikacje.

Aresztowanie cyberprzestępców w Rosji

Na przestrzeni ostatnich trzech lat w Rosji miał miejsce aktywny rozwój trojanów atakujących użytkowników systemów bankowości online.

W Europie i Brazylii cyberprzestępcy głównie wykorzystują trojany bankowe w celu przeprowadzania ataków na użytkowników indywidualnych. Cechą wyróżniającą cyberprzestępców w Rosji jest fakt, że aktywnie rozwijają oni szkodliwe oprogramowanie, którego celem jest kradzież środków z kont rosyjskich firm poprzez manipulowanie systemami bankowości internetowej na komputerach księgowych. Trojan-Spy.Win32.Carberp jest jednym z najlepiej znanych przykładów trojanów tego typu.