Прекращена деятельность одной из крупнейших в мире вредоносных кампаний

Прекращена деятельность одной из крупнейших в мире вредоносных кампаний

Правоохранители совместно с ИБ-экспертами отключили сеть ботнетов Andromeda.  

Правоохранительные органы совместно с производителями защитных решений прекратили деятельность одной из крупнейших в мире вредоносных кампаний. 29 ноября 2017 года сотрудники Европола, Евроюста, Объединенной группы по борьбе с киберпреступностью (J-CAT), ФБР, Центральной криминальной инспекции Люнебурга (Германия) при участии Microsoft и ESET официально отключили сеть ботнетов Andromeda, распространявшую вредоносное ПО Gamarue, также известное как Wauchos.

Сеть состояла из 464 отдельных ботнетов и заражала порядка 1,1 млн компьютеров ежемесячно. В рамках правоохранительной операции было отключено около 1,5 тыс. доменов и IP-адресов, использовавшихся в C&C-инфраструктуре.

Gamarue продается в даркнете под названием Andromeda bot уже как минимум лет шесть и представляет собой дроппер для загрузки дополнительного вредоносного ПО. Примечательно, что вредонос способен определять настройки клавиатуры жертвы. В случае использования русского, белорусского, украинского или казахского языков заражение не происходит.

В общей сложности сеть Andromeda распространяла около 80 семейств вредоносного ПО. Помимо Gamarue, она использовалась для инфицирования компьютеров жертв вымогательским ПО Petya и Cerber, ботом Neutrino для DDoS-атак, спам-ботом Lethic, а также инфостилерами Ursnif, Carberp и Fareit.

По данным Microsoft, в ходе операции за 48 часов были перехвачены IP-адреса 2 млн жертв из 223 стран. Кроме того, был арестован житель Республики Беларусь. Подробности ареста пока не раскрываются.

Ищем баги вместе! Но не те, что в продакшене...

Разбираем кейсы, делимся опытом, учимся на чужих ошибках

Зафиксируйте уязвимость своих знаний — подпишитесь!