Архив новостей

Grum остался без руля

Шаги, предпринятые FireEye для нейтрализации Grum, дали неожиданно быстрые результаты. Все действующие C&C ботнета-спамера были отключены в течение трех дней.

Как мы недавно сообщали, у Grum ― современного лидера по спам-рассылкам ― к июлю осталось лишь 4 активных центра управления. Два из них, размещенные на территории Панамы и России, использовались ботоводами для учета наличного состава и поддержки работоспособности подсетей, еще два, оба в Голландии, осуществляли сопровождение спамерской деятельности.

На призыв FireEye к совместным действиям первыми откликнулись голландцы. Местный интернет-провайдер отключил оба C&C сервера Grum, раздававшие спам-шаблоны и инструкции своим подчиненным. Тем не менее, ботоводы быстро оправились от удара и перенесли управление спам-операциями на Украину, подняв там сразу 6 новых серверов. Эксперты FireEye, внимательно следившие за ходом событий, сразу передали новую информацию коллегам, включая Spamhaus и Group-IB, а те, в свою очередь, задействовали свои российские и украинские контакты. 

К этому времени панамский интернет-провайдер, попытавшийся проигнорировать заморский запрос, уступил давлению общественности и отключил главный сервер Grum, обосновавшийся в его сетях. Второй несговорчивый хостер такого же контроллера, псковский ГазИнвестПроект, был вынужден с ним расстаться, когда магистральный провайдер заблокировал трафик с соответствующего IP-адреса. Одновременно пали и украинские серверы Grum. 

Разумеется, для полной победы над бот-сетью нужно еще найти и призвать к ответу ее операторов, а также провести очистку зараженных компьютеров. Spamhaus ежедневно регистрировала в среднем порядка 120 тыс. IP-адресов Grum, активно рассылающих спам. После отключения C&C их количество сократилось до 21,5 тысяч. Приводя эти цифры, FireEye отмечает, что они дают лишь примерное представление об истинных масштабах Grum. Многие компании и провайдеры блокируют исходящую почту по умолчанию, и участники бот-сети, сидящие за такими фильтрами, используются ботоводами лишь как площадки для размещения спам-рекламы.      

Grum остался без руля

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

Таргетированная атака на промышленные предприятия и государственные учреждения

Эксперты Kaspersky ICS CERT выявили волну атак на предприятия и государственные учреждения нескольких стран Восточной Европы и Афганистана. В ходе исследования выявлено вредоносное ПО, ранее использованное в атаках, которые другие исследователи отнесли к APT TA428.

ToddyCat: неизвестная APT-группа, нацеленная на организации Европы и Азии

ToddyCat является относительно новой APT-группой, ответственной за серии атак на высокостатусные организации Европы и Азии. Два ключевых отличительных признака этой группы — ранее неизвестные инструменты, которые мы назвали «бэкдор Samurai» и «троянец Ninja».

Lazarus распространяет протрояненный DeFi-кошелек

Недавно мы обнаружили протрояненное DeFi-приложение, которое имплантирует в систему полнофункциональный бэкдор. Проанализировав этот бэкдора, мы обнаружили многочисленные совпадения с другими инструментами группы Lazarus.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике