Архив новостей

Waledac потерял голову

Microsoft добилась судебного приказа об отключении управляющих серверов ботнета-спамера Waledac.

Федеральный суд штата Вирджиния удовлетворил иск Microsoft и разрешил приостановить обслуживание 277 доменов, связанных с системой управления ботнетом. Все эти домены зарегистрированы в зоне .com, оператором которой является американская компания VeriSign. Судебный приказ был выполнен за три дня, и в настоящее время большинство спамботов Waledac отрезаны от командного трафика. Microsoft принимает дополнительные меры, чтобы ограничить их связь с резервными серверами на одноранговом уровне. Структура ботнета приведена в исковом документе компании: http://www.microsoft.com/presspass/events/rsa/docs/complaint.pdf (3,26 Мб).

Этот успех увенчал месяцы кропотливой работы, проводимой под кодовым наименованием «операция b49». В расследовании также принимали участие эксперты Shadowserver, университета им. Джорджа Вашингтона, Symantec и др.

По оценкам специалистов, Waledac насчитывает сотни тысяч зараженных компьютеров, рассеянных по всему миру. Его спамбот (в классификации ЛК Email-Worm.Win32.Iksmas) способен генерировать свыше 1,5 млрд. сообщений в сутки. Основанием для иска послужили 651 млн. спамовых писем, разосланных на адреса Hotmail меньше чем за три декабрьские недели.

Современная популяция Waledac в географическом разделении (источник: Microsoft)

Эксперты намерены добиться постоянного судебного приказа о блокировании одиозных доменов. Как показывает практика, подобные меры достаточно эффективны, но кратковременны: операторы ботнета производят перегруппировку, обновляют свое оружие, и через пару месяцев зомби-сеть снова в строю. Не стоит также сбрасывать со счетов вопрос о нанесенном ими ущербе — зараженные компьютеры пользователей нуждаются в срочной очистке.

Waledac потерял голову

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Азиатские APT-группировки: тактики, техники и процедуры

Делимся с сообществом подходами, которые используют азиатские APT-группировки при взломе инфраструктуры, и подробной информацией о тактиках, техниках и процедурах (TTPs) злоумышленников, основанной на методологии MITRE ATT&CK.

Как поймать «Триангуляцию»

Эксперты «Лаборатории Касперского» смогли получить все этапы «Операции Триангуляция»: эксплойты нулевого дня для iOS, валидаторы, имплант TriangleDB и дополнительные модули.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике