Grum остался без руля

Шаги, предпринятые FireEye для нейтрализации Grum, дали неожиданно быстрые результаты. Все действующие C&C ботнета-спамера были отключены в течение трех дней.

Как мы недавно сообщали, у Grum ― современного лидера по спам-рассылкам ― к июлю осталось лишь 4 активных центра управления. Два из них, размещенные на территории Панамы и России, использовались ботоводами для учета наличного состава и поддержки работоспособности подсетей, еще два, оба в Голландии, осуществляли сопровождение спамерской деятельности.

На призыв FireEye к совместным действиям первыми откликнулись голландцы. Местный интернет-провайдер отключил оба C&C сервера Grum, раздававшие спам-шаблоны и инструкции своим подчиненным. Тем не менее, ботоводы быстро оправились от удара и перенесли управление спам-операциями на Украину, подняв там сразу 6 новых серверов. Эксперты FireEye, внимательно следившие за ходом событий, сразу передали новую информацию коллегам, включая Spamhaus и Group-IB, а те, в свою очередь, задействовали свои российские и украинские контакты. 

К этому времени панамский интернет-провайдер, попытавшийся проигнорировать заморский запрос, уступил давлению общественности и отключил главный сервер Grum, обосновавшийся в его сетях. Второй несговорчивый хостер такого же контроллера, псковский ГазИнвестПроект, был вынужден с ним расстаться, когда магистральный провайдер заблокировал трафик с соответствующего IP-адреса. Одновременно пали и украинские серверы Grum. 

Разумеется, для полной победы над бот-сетью нужно еще найти и призвать к ответу ее операторов, а также провести очистку зараженных компьютеров. Spamhaus ежедневно регистрировала в среднем порядка 120 тыс. IP-адресов Grum, активно рассылающих спам. После отключения C&C их количество сократилось до 21,5 тысяч. Приводя эти цифры, FireEye отмечает, что они дают лишь примерное представление об истинных масштабах Grum. Многие компании и провайдеры блокируют исходящую почту по умолчанию, и участники бот-сети, сидящие за такими фильтрами, используются ботоводами лишь как площадки для размещения спам-рекламы.