Um relatório recente sobre o cenário de ameaças publicado pela Fortinet sugere que, embora o FBI e as autoridades europeias tenham encerrado o reinado do botnet Andromeda no final de 2017, ainda existem sistemas infectados com o malware. A empresa indica que o processo de limpeza dos PCs infectados não está a progredir ao mesmo ritmo entre as regiões, pois ainda é um grande problema em África, na Ásia e no Médio Oriente.
Em sua essência, Andromeda – ou melhor, Gamarue – é uma plataforma para fornecer uma galáxia de variantes de malware (na verdade, apenas 80), incluindo ransomware, trojans bancários, bots de spam, malware de fraude de cliques e mais. Entre junho de 2017 e seu suposto desaparecimento antes do início de 2018, Andrômeda estava em alta, como foi detectado e bloqueado em mais de 1 milhão de máquinas em média por mês.
Vídeos recomendados
De acordo com a Microsoft, a estrutura de comando e controle do Andromeda abrangeu 1.214 domínios e endereços IP. Também era composto por 464 botnets “distintos”, bem como mais de 80 famílias de malware associadas. O Andromeda foi vendido no mercado negro como um “kit de crime” que incluía um construtor de bots, um aplicativo de comando e controle e documentação sobre como criar uma botnet.
O que tornou Andromeda uma extremidade atraente para venda foi sua natureza modular. O kit veio com dois plug-ins, um dos quais poderia transformar um PC em um servidor proxy. Por US$ 150 adicionais, os hackers poderiam comprar o plug-in keylogger ou adquirir o plug-in Formgetter por outros US$ 250, que capturava dados enviados por meio de navegadores da web.
Os hackers espalham o Andromeda por meio de vários métodos, como mensagens de mídia social com links maliciosos, e-mails de spam com links semelhantes, downloaders de cavalos de Tróia e muito mais. Depois de infectar uma máquina, o Andromeda contatou um servidor de comando e controle para se tornar parte de um grupo maior. rede de PCs infectados. Quando isso acontecesse, os hackers poderiam fazer qualquer coisa com o exército de máquinas apreendidas.
Mas, como indica o relatório, livrar-se de Andrômeda não é uma tarefa simples. Só em África, Andrómeda tem a prevalência mais elevada, com 25,6 por cento, seguida pelo verme H com 13,8 por cento e Ramnit com 10,07 por cento. Andromeda lidera as paradas na Ásia, seguida por Ramnit (9,83%) e o verme H (7,4%).
O relatório sugere que o problema com estas percentagens elevadas está provavelmente ligado às capacidades de resposta e remediação destes países.
Além de observar a lenta progressão da limpeza dos destroços de Andrômeda, o relatório tira o chapéu para VPNFilter, um ataque patrocinado pelo Estado-nação desenvolvido pela Rússia que tem como alvo roteadores de rede. O FBI distribuiu anteriormente um aviso aos cidadãos dos EUA, apelando aos americanos para reiniciarem os seus routers para cortar possíveis ligações aos servidores de comando e controlo do malware.
O relatório também chama a botnet Smominru uma “adição notável”, um malware de mineração Monero direcionado a PCs baseados em Windows. Ele foi espalhado por meio do exploit EternalBlue e, como uma botnet, extraía cerca de 24 XMR por dia. Até o momento desta publicação, o valor de um único XMR era de US$ 81, o que significa que os hackers estavam gerando cerca de US$ 1.944 por dia.
Outras botnets que são presença permanente no Relatório de cenário de ameaças da empresa todos os meses incluem Gh0st, Pushdo, Necurs e três outros.
Recomendações dos Editores
- Hacker infecta 100 mil roteadores no último ataque de botnet destinado a enviar spam por e-mail
Atualize seu estilo de vidaDigital Trends ajuda os leitores a manter o controle sobre o mundo acelerado da tecnologia com as últimas notícias, análises divertidas de produtos, editoriais criteriosos e prévias únicas.
