Niedawny raport dotyczący krajobrazu zagrożeń opublikowane przez Fortinet sugerują, że chociaż FBI i europejskie organy ścigania zakończyły panowanie botnetu Andromeda pod koniec 2017 r., nadal istnieją systemy zainfekowane tym szkodliwym oprogramowaniem. Firma wskazuje, że proces czyszczenia zainfekowanych komputerów nie postępuje w tym samym tempie w poszczególnych regionach, ponieważ nadal stanowi duży problem w Afryce, Azji i na Bliskim Wschodzie.
W swojej istocie Andromeda — a raczej Gamarue — jest platformą dostarczającą całą masę wariantów złośliwego oprogramowania (właściwie zaledwie 80), w tym oprogramowanie ransomware, trojany bankowe, boty spamujące, złośliwe oprogramowanie wyłudzające kliknięcia i więcej. Od czerwca 2017 r. do rzekomego upadku przed początkiem 2018 r. Andromeda przeżywała okres rozkwitu, ponieważ wykryte i zablokowane na ponad 1 milionie maszyn średnio co miesiąc.
Polecane filmy
Zdaniem Microsoftustruktura dowodzenia i kontroli Andromedy obejmowała 1214 domen i adresów IP. Zawierał także 464 „odrębne” botnety oraz ponad 80 powiązanych rodzin szkodliwego oprogramowania. Andromeda była sprzedawana na czarnym rynku jako „zestaw kryminalny” zawierający narzędzie do tworzenia botów, aplikację do dowodzenia i kontroli oraz dokumentację dotyczącą tworzenia botnetu.
Tym, co uczyniło Andromedę niezwykle atrakcyjną sprzedażą, była jej modułowa natura. W zestawie znajdują się dwie wtyczki, z których jedna może zamienić komputer PC w serwer proxy. Za dodatkowe 150 dolarów hakerzy mogliby kupić wtyczkę keyloggera lub pobrać wtyczkę Formgetter za kolejne 250 dolarów, która przechwytywała dane przesyłane za pośrednictwem przeglądarek internetowych.
Hakerzy rozprzestrzeniają Andromedę różnymi metodami, takimi jak wiadomości w mediach społecznościowych zawierające złośliwe linki, wiadomości spamowe z podobnymi linkami, programy do pobierania trojanów i nie tylko. Po zainfekowaniu maszyny Andromeda skontaktowała się z serwerem dowodzenia i kontroli, aby stać się częścią większego sieć zainfekowanych komputerów. Gdy to się stanie, hakerzy będą mogli zrobić wszystko z przejętą armią maszyn.
Jednak jak wskazuje raport, pozbycie się Andromedy nie jest łatwym zadaniem. W samej Afryce najczęściej występuje Andromeda z 25,6%, następnie robak H z 13,8% i Ramnit z 10,07%. Andromeda zajmuje pierwsze miejsca na listach przebojów w Azji, a za nią plasuje się Ramnit (9,83 procent) i robak H (7,4 procent).
Ze raportu wynika, że problem związany z tak wysokimi odsetkami jest prawdopodobnie powiązany z możliwościami tych krajów w zakresie reagowania i napraw.
Na zewnątrz, odnotowując powolny postęp sprzątania gruzu Andromedy, raport uchyla kapelusza przed VPNFilter, atak sponsorowany przez państwo narodowe którego celem są routery sieciowe. FBI przesłało już wcześniej ostrzeżenie do obywateli USA, wzywając ich do ponownego uruchomienia routerów w celu odcięcia ewentualnych powiązań z serwerami dowodzenia i kontroli szkodliwego oprogramowania.
Raport także wzywa botnetu Smominru „godny uwagi dodatek” – szkodliwe oprogramowanie wydobywające Monero atakujące komputery z systemem Windows. Rozprzestrzeniał się poprzez exploit EternalBlue i jako botnet wydobywał około 24 XMR dziennie. W chwili tej publikacji wartość pojedynczego XMR wynosiła 81 dolarów, co oznacza, że hakerzy generowali około 1944 dolarów dziennie.
Inne botnety, które na stałe pojawiają się w comiesięcznym raporcie firmy na temat krajobrazu zagrożeń, to Gh0st, Pushdo, Necurs i trzy inne.
Zalecenia redaktorów
- Haker infekuje 100 tys. routerów w ramach najnowszego ataku botnetu mającego na celu wysyłanie spamu e-mailowego
Ulepsz swój styl życiaDigital Trends pomaga czytelnikom śledzić szybko rozwijający się świat technologii dzięki najnowszym wiadomościom, zabawnym recenzjom produktów, wnikliwym artykułom redakcyjnym i jedynym w swoim rodzaju zajawkom.
