Правоохранители совместно с ИБ-экспертами отключили сеть ботнетов Andromeda.
Правоохранительные органы совместно с производителями защитных решений прекратили деятельность одной из крупнейших в мире вредоносных кампаний. 29 ноября 2017 года сотрудники Европола, Евроюста, Объединенной группы по борьбе с киберпреступностью (J-CAT), ФБР, Центральной криминальной инспекции Люнебурга (Германия) при участии Microsoft и ESET официально отключили сеть ботнетов Andromeda, распространявшую вредоносное ПО Gamarue, также известное как Wauchos.
Сеть состояла из 464 отдельных ботнетов и заражала порядка 1,1 млн компьютеров ежемесячно. В рамках правоохранительной операции было отключено около 1,5 тыс. доменов и IP-адресов, использовавшихся в C&C-инфраструктуре.
Gamarue продается в даркнете под названием Andromeda bot уже как минимум лет шесть и представляет собой дроппер для загрузки дополнительного вредоносного ПО. Примечательно, что вредонос способен определять настройки клавиатуры жертвы. В случае использования русского, белорусского, украинского или казахского языков заражение не происходит.
В общей сложности сеть Andromeda распространяла около 80 семейств вредоносного ПО. Помимо Gamarue, она использовалась для инфицирования компьютеров жертв вымогательским ПО Petya и Cerber, ботом Neutrino для DDoS-атак, спам-ботом Lethic, а также инфостилерами Ursnif, Carberp и Fareit.
По данным Microsoft, в ходе операции за 48 часов были перехвачены IP-адреса 2 млн жертв из 223 стран. Кроме того, был арестован житель Республики Беларусь. Подробности ареста пока не раскрываются.
Разбираем кейсы, делимся опытом, учимся на чужих ошибках