Ερευνητές της ESET, σε συνεργασία με την Microsoft και με υπηρεσίες επιβολής του νόμου - το FBI, την Interpol, τη Europol και άλλους φορείς που μεριμνούν για την ασφάλεια του κυβερνοχώρου – κατέρριψαν μια σημαντική επιχείρηση botnet γνωστή ως Gamarue (εντοπίστηκε από την ESET ως Win32/ TrojanDownloader.Wauchos), που μολύνει υπολογιστές από το 2011.
Οι συντονισμένες δράσεις κατάρριψης ξεκίνησαν στις 29 Νοεμβρίου 2017 και χάρη στην κοινή αυτή προσπάθεια, οι υπηρεσίες επιβολής του νόμου σε ολόκληρο τον κόσμο μπόρεσαν να προχωρήσουν σε συλλήψεις και να εμποδίσουν τη δραστηριότητα της οικογένειας malware που ευθυνόταν για τη μόλυνση περισσότερων από 1,1 εκατομμυρίων συστημάτων μηνιαίως.
Οι ερευνητές της ESET και της Microsoft αντάλλαξαν τεχνικές αναλύσεις, στατιστικές πληροφορίες και δημοφιλή domains από C&C servers για να βοηθήσουν στη διακοπή της κακόβουλης δραστηριότητας της ομάδας. Η ESET μοιράστηκε επίσης τις γνώσεις της για το Gamarue, τις οποίες είχε συγκεντρώσει από τη συνεχή παρακολούθηση του malware και των επιπτώσεων του στους χρήστες κατά τα τελευταία χρόνια.
Τι είναι το Gamarue?
Η οικογένεια Gamarue δημιουργήθηκε από κυβερνοεγκληματίες το Σεπτέμβριο του 2011 και πωλήθηκε ως «crime-kit» σε underground φόρουμ στο Dark Web, με σκοπό την κλοπή διαπιστευτηρίων και τη λήψη και εγκατάσταση επιπλέον κακόβουλου λογισμικού στα συστήματα των χρηστών.
Αυτή η οικογένεια malware αποτελεί ένα bot με δυνατότητες εξατομίκευσης, επιτρέποντας στον ιδιοκτήτη του να δημιουργεί και να χρησιμοποιεί προσαρμοσμένα plugins. Ένα τέτοιο plugin επιτρέπει στον κυβερνοεγκληματία να κλέβει το περιεχόμενο που εισάγουν οι χρήστες σε φόρμες web, ενώ ένα άλλο επιτρέπει τη σύνδεση των εγκληματιών και τον έλεγχο των παραβιασμένων συστημάτων.
Η δημοτικότητά του έχει οδηγήσει σε μια σειρά από ανεξάρτητα, «in the wild» botnets Gamarue. Στην πραγματικότητα, η ESET διαπίστωσε ότι δείγματα Gamarue έχουν εξαπλωθεί σε όλο τον κόσμο μέσω κοινωνικών μέσων, instant messaging, αφαιρούμενων μέσων, spam και exploit kits.
Πώς οι ερευνητές της ESET και της Microsoft συγκέντρωναν πληροφορίες;
Χρησιμοποιώντας την υπηρεσία ESET Threat Intelligence, οι ερευνητές της ESET κατάφεραν να δημιουργήσουν ένα bot που θα μπορούσε να επικοινωνεί με το C&C server της απειλής. Έτσι, η ESET και η Microsoft μπόρεσαν να παρακολουθήσουν στενά τα botnets του Gamarue κατά τον προηγούμενο 1,5 χρόνο, να εντοπίσουν τους C&C servers για να τους «ρίξουν» και να ελέγξουν τι έχει εγκατασταθεί στα συστήματα των θυμάτων. Από τότε, οι δύο εταιρίες δημιούργησαν λίστα με όλα τα domains που χρησιμοποιούν οι εγκληματίες του κυβερνοχώρου ως C&C servers.
«Στο παρελθόν, η Wauchos ήταν η πιο συχνά ανιχνευμένη οικογένεια malware μεταξύ των χρηστών της ESET, οπότε όταν μας προσέγγισε η Microsoft για να συμμετάσχουμε σε μια κοινή προσπάθεια καταπολέμησης, για να προστατέψουμε καλύτερα τους χρήστες μας και το ευρύ κοινό γενικά, ήταν αυτονόητο να συμφωνήσουμε», δήλωσε ο Jean-Ian Boutin, Senior Malware Research της ESET. «Αυτή η συγκεκριμένη απειλή υπάρχει εδώ και αρκετά χρόνια και επανεμφανίζεται συνεχώς - γεγονός που μπορεί να δυσκολέψει την παρακολούθηση. Ωστόσο, χρησιμοποιώντας την υπηρεσία ESET Threat Intelligence και δουλεύοντας σε συνεργασία με τους ερευνητές της Microsoft, καταφέραμε να παρακολουθούμε τις αλλαγές στη συμπεριφορά του malware και συνεπώς να προσφέρουμε αξιοποιήσιμα δεδομένα, τα οποία αποδείχθηκαν ανεκτίμητα σε αυτές τις προσπάθειες κατάρριψης».
Τι πρέπει να κάνουν οι χρήστες εάν υποψιάζονται ότι τα συστήματά τους έχουν παραβιαστεί;
Οι εγκληματίες του κυβερνοχώρου παραδοσιακά χρησιμοποίησαν το Gamarue για να στοχεύσουν τους οικιακούς χρήστες ώστε να κλέψουν διαπιστευτήρια από ιστότοπους μέσω ενός plugin με δυνατότητες form grabbing. Ωστόσο, οι ερευνητές της ESET παρατήρησαν πρόσφατα ότι το malware έχει χρησιμοποιηθεί για την εγκατάσταση διαφόρων spam bots σε παραβιασμένα συστήματα σε ένα λεγόμενο «pay-per-install» σύστημα.
