Badacze bezpieczeństwa z ESET we współpracy z Microsoft i organami ściągania – m.in. z FBI, Interpolem, Europolem – zlikwidowali groźny botnet Wauchos, znany również jako Gamarue/Andromeda, który od 2011 infekował komputery nieświadomych użytkowników na całym świecie. Poddawany wielokrotnym modyfikacjom botnet Wauchos miesięcznie atakował ponad milion maszyn! Operacja unieszkodliwienia botnetu Wauchos została przeprowadzona na przełomie listopada i grudnia br. Groźna sieć została
unieszkodliwiona dzięki wspólnej pracy ekspertów ESET, Microsoft oraz kooperacji międzynarodowych organów ścigania.
Firma ESET na przestrzeni lat obserwowała poddawany modyfikacjom botnet, dzięki czemu mogła zidentyfikować kontrolowane serwery oraz instalowane oprogramowanie. Z wykorzystaniem usługi ESET Threat Intelligence badacze zbudowali specjalnego bota, który mógł komunikować się ze zdalnym serwerem kontrolowanym przez cyberprzestępców. Dzięki temu programowi, eksperci z ESET i Microsoft byli w stanie monitorować botnet przez ostatnie 1,5 roku, identyfikując jego serwery, a także monitorując, jakie oprogramowanie zostało zainstalowane na komputerach ofiar.
Czym jest botnet Wauchos?
Botnet Wauchos to kontrolowana przez cyberprzestępców sieć komputerów, która stanowi globalny problem od – co najmniej – września 2011 roku. Wspomniany botnet, znany również jako Gamarue/Andromeda, został sklasyfikowany przez ekspertów z ESET jako Win32/TrojanDownloader.Wauchos. Botnet, w ciągu ostatnich lat, dystrybuowany był wśród cyberprzestępców na podziemnych forach, przez co ulegał wielokrotnym modyfikacjom. Jego nowe wersje z biegiem czasu stawały się coraz bardziej zaawansowane. Nie tylko próbowały omijać mechanizmy bezpieczeństwa programów antywirusowych, ale także były wyposażane w nowe funkcjonalności.
– Przykładowo, zagrożenie Wauchos zostało wzbogacone o plugin Win32/Bundpil.CS, który umożliwiał rozprzestrzenianie się zagrożenia z wykorzystaniem pamięci przenośnych USB. Z kolei inna wtyczka dodana w tym roku sprawiała, że zagrożenie zostało umieszczone w rejestrze systemu (w postaci zaszyfrowanej) i przestawało istnieć w postaci pliku na dysku, co czyniło go trudniejszym do wykrycia – tłumaczy Kamil Sadkowski, analityk zagrożeń z ESET.
Jak dodają eksperci z ESET, jedną z modyfikacji botnetu była możliwość sprawdzenia, jaki język klawiatury został ustawiony przez użytkownika.
– Jeśli złośliwe oprogramowanie wykryje język rosyjski, ukraiński, białoruski lub kazachski, zaprzestanie dalszej infekcji – dodaje Kamil Sadkowski z ESET.
Próbki złośliwego oprogramowania były rozpowszechniane na całym świecie za pośrednictwem mediów społecznościowych, komunikatorów, nośników pamięci, spamu, a także zestawów exploitów. Przed infekcją i dołączeniem do botnetu Wauchos chronią programy antywirusowe ESET.