Последнее обновление 08.01.2023 — QGames
Google объявил сегодня, что он принял меры по нарушению работы ботнета Glupteba, который теперь контролирует более 1 миллиона компьютеров с Windows по всему миру, и каждый день появляются тысячи новых зараженных устройств.
Glupteba — это модульное вредоносное ПО с поддержкой блокчейна, которое нацелено на устройства Windows по всему миру как минимум с 2011 года, включая США, Индию, Бразилию и страны Юго-Восточной Азии.
Злоумышленники, стоящие за этой разновидностью вредоносного ПО, в основном распространяют полезную нагрузку на целевые устройства через сети с оплатой за установку (PPI) и трафик, приобретаемый из систем распределения трафика (TDS), замаскированный под «бесплатное, загружаемое программное обеспечение, видео или фильмы».
После заражения хоста он может добывать криптовалюту, красть учетные данные пользователей и файлы cookie, а также развертывать прокси-серверы в системах Windows и устройствах IoT, которые впоследствии продаются в качестве «домашних прокси» другим киберпреступникам.
В рамках согласованных усилий Google по разрушению ботнета компания взяла на себя управление ключевой инфраструктурой управления и контроля (C2) Glupteba, которая использует механизм резервного копирования цепочки биткойнов для повышения устойчивости, если основные серверы C2 перестают отвечать.
«Мы считаем, что это действие окажет значительное влияние на деятельность Glupteba», — заявили сегодня Шейн Хантли и Лука Надь из Google Threat Analysis Group.
«Однако операторы Glupteba, вероятно, попытаются восстановить контроль над ботнетом, используя резервный механизм управления и контроля, который использует данные, закодированные в цепочке блоков биткойнов».
Glupteba disruption over last year:
63M Google Docs 1,183 Google Accounts, 908 Cloud Projects, and 870 Google Ads accounts. 3.5M users were warned via Safe Browsing.TAG also partnered with CloudFlare and others take down servers.
— Shane Huntley (@ShaneHuntley) December 7, 2021
Судебные иски о нарушении работы ботнета
Google также подал в Южном округе Нью-Йорка временный запретительный судебный приказ и подал жалобу на двух российских обвиняемых (Дмитрия Старовикова и Александра Филиппова) и 15 других неизвестных лиц.
В жалобе утверждается, что 17 ответчиков были теми, кто осуществлял и координировал атаки Glupteba с конечной целью кражи учетных записей пользователей и информации о кредитных картах, продажи размещения рекламы и доступа через прокси на зараженных устройствах, а также добычи криптовалюты при компьютерном мошенничестве и злоупотреблениях, нарушении прав на товарный знак, и другие схемы.
Среди онлайн-сервисов, предлагаемых операторами ботнета Glupteba, Google упомянул «продажу доступа к виртуальным машинам, загруженным украденными учетными данными (dont [.] Farm), прокси-доступ (awmproxy) и продажу номеров кредитных карт (extracard) для использования в других вредоносных целях»). такие действия, как показ вредоносной рекламы и мошенничество с платежами в Google Рекламе «.
«К сожалению, использование Glupteba технологии блокчейн в качестве механизма обеспечения устойчивости примечательно здесь и становится все более распространенной практикой среди организаций киберпреступности», — добавили вице-президент Google по безопасности Royal Hansen и генеральный советник Халима ДеЛейн Прадо .
«Децентрализованный характер блокчейна позволяет ботнету быстрее восстанавливаться после сбоев, что значительно усложняет их отключение. Мы тесно сотрудничаем с промышленностью и правительством, борясь с этим типом поведения, так что даже если Glupteba вернется, Интернет будет лучше защищаться от него «.
В понедельник Microsoft также захватила десятки вредоносных сайтов, используемых хакерской группой из Китая Nickel (также известной как KE3CHANG, APT15, Vixen Panda, Royal APT и Playful Dragon) для целевых серверов, принадлежащих правительственным организациям, дипломатическим учреждениям и неправительственным организациям. организации (НПО) в США и 28 других странах мира.