Operațiunea de închidere a rețelei a început pe 29 noiembrie 2017 și ca urmare a acestui efort comun, agențiile de aplicare a legii din întreaga lume au reușit să blocheze activitatea familiei malware responsabilă pentru infectarea a peste 1,1 milioane de sisteme pe lună.
Cercetătorii de la ESET și Microsoft au împărtășit analize tehnice, informații statistice și listele cu domenii ale serverelor de comandă și control cunoscute (C & C) pentru a ajuta la stoparea activității rău intenționate a grupului. ESET a împărtășit, de asemenea, cunoștințele sale anterioare despre Gamarue, obținute din monitorizarea continuă a malware-ului și analiza asupra impactului acestuia asupra utilizatorilor în ultimii ani.
Ce este Gamarue?
Creat de infractori cibernetici în septembrie 2011 și vândut sub formă de servicii pe Dark Web (în forumuri underground), sub forma unui set de instrumente care înlesnesc activitățile infracționale, scopul familiei Gamarue a fost să fure credențialele de acces, să descarce și să instaleze programe malware suplimentare pe sistemele utilizatorilor.
Această familie malware este un bot personalizabil, care permite proprietarului să creeze și să utilizeze plugin-uri personalizate. Un astfel de plugin permite infractorului cibernetic să aibă acces fraudulos la conținutul introdus de utilizatorii în formularele web, în timp ce alt asemenea plugin le permite infractorilor să se conecteze și să controleze sistemele compromise.
Popularitatea sa a dus la apariția unui număr mare de botnet-uri independente Gamarue in-the-wild. De fapt, ESET a descoperit că eșantioanele sale au fost distribuite pe tot globul prin intermediul rețelelor sociale, mesageriei instant, a dispozitivelor portabile mass-media, a spamului și a kiturilor de exploatare.
Cum au acumulat informații cercetătorii ESET și Microsoft?
Utilizând serviciul ESET Threat Intelligence, cercetătorii ESET au reușit să construiască un bot care putea comunica cu serverul C & C (de Comandă și Control) al secvenței malware. Astfel, ESET și Microsoft au reușit să urmărească îndeaproape botneturile Gamarue în ultimul an și jumătate, identificând serverele C & C pentru eliminarea și monitorizarea instalărilor pe sistemele victimelor. Cele două companii au elaborat de atunci o listă a tuturor domeniilor utilizate de către infractorii cibernetici ca servere C & C.
"În trecut, această familie malware a fost cea mai des detectată clasă de cod malițios printre utilizatorii ESET, așa că atunci când am fost abordați de Microsoft pentru a participa la un efort comun de întrerupere a acesteia, pentru a proteja mai bine utilizatorii și publicul larg, nu am ezitat", a spus Jean-Ian Boutin, Senior Malware Research la ESET. "Această amenințare particulară există de câțiva ani și se reinventează în mod constant - ceea ce face dificilă monitorizarea sa. Dar, folosindu-ne de tehnicile de analiză inteligentă a amenințărilor utilizate de ESET și colaborând cu cercetătorii Microsoft, am reușit să urmărim permanent schimbările în comportamentul malware-ului și, prin urmare, să furnizăm date care pot fi aplicate, care s-au dovedit a fi de foarte utile în aceste eforturi de eliminare ".
Ce ar trebui să facă utilizatorii dacă suspectează că sistemele lor au fost compromise?
Infractorii cibernetici au folosit în mod tradițional Gamarue pentru a viza utilizatorii de acasă cu scopul de a fura datele de conectare ale utilizatorilor la diferite site-uri web, prin intermediul plugin-ului Grabber. Cu toate acestea, cercetătorii ESET au observat recent că malware-ul este folosit pentru a instala diverse automatizari concepute pentru spam pe mașinile compromise, într-o așa-numită schemă de plăți per instalare.