Világméretű művelet keretében iktatták ki a bűnözők által üzemeltetett Simda bothálózatot, amely világszerte több ezer fertőzött PC-ből áll.
Egy sor egyidejűleg végrehajtott művelet eredményeképpen tíz parancs és vezérlő szervert foglaltak le a hatóságok Hollandiában, és további szervereket állítottak le az Egyesült Államokban, Oroszországban, Luxemburgban és Lengyelországban.
Egy sor egyidejűleg végrehajtott művelet eredményeképpen tíz parancs és vezérlő szervert foglaltak le a hatóságok Hollandiában, és további szervereket állítottak le az Egyesült Államokban, Oroszországban, Luxemburgban és Lengyelországban.
Az akcióban a hollandiai Dutch National High Tech Crime Unit (NHTCU), az amerikai Federal Bureau of Investigation (FBI), a luxemburgi Police Grand-Ducale Section Nouvelles Technologies, valamint az orosz Belügyminisztérium ?K? kiberbűnözéssel foglalkozó, az INTERPOL moszkvai hivatala által támogatott osztályának munkatársai vettek részt.
Az akció célja a botnet működésének jelentős megbénítása volt, melynek eredményeképpen a kiberbűnözők csak jelentős költségekkel és kockázattal tudják tovább folytatni illegális tevékenységüket, továbbá az áldozatok számítógépei nem tudnak részt venni a rosszindulatú műveletekben.
? A Simda egy ?pay-per-install? jellegű malware, amelyet illegális szoftverek és különféle rosszindulatú programok, többek között banki bejelentkezési információk ellopására szolgáló programkártevők terjesztésére használnak. A pay-per-install üzleti modell lehetővé teszi a kiberbűnözőknek, hogy pénzt keressenek a fertőzött PC-khez való hozzáférés más bűnözőknek való eladásából: a vevők további programokat telepítenek ezekre a számítógépekre.
? A Simda terjesztéséhez számos fertőzött webhelyet használnak, amelyeket a kihasználó kódhoz irányítanak át. A támadók legális webhelyeket/szervereket törnek fel, amelyeken rosszindulatú kódot helyeznek el. Amikor a felhasználók meglátogatják ezeket a weboldalakat, a rosszindulatú kód észrevétlenül tartalmat tölt be a kihasználásra készült webhelyről és megfertőzi a nem megfelelően frissített PC-t.
? A Simda bothálózat jelenlétét 190 országban észlelték, és leginkább az Egyesült Államok, az Egyesült Királyság, Oroszország, Kanada és Törökország érintett.
? Becslések szerint a bot 770 ezer számítógépet fertőzött meg világszerte, az áldozatok túlnyomó része az Egyesült Államokban található (2015 eleje óta 90 ezer új fertőzést észleltek).
? Az évek óta aktív Simda olyan mértékben kifinomulttá vált, hogy bármely sérülékenységet képes kihasználni. Új, nehezebben észlelhető változatai pár óránként jelennek meg. Jelenleg a Kaspersky Lab vírusgyűjteményében a Simda malware különféle verzióihoz tartozó, több mint 260 ezer végrehajtható fájl található.
Jelenleg folyik az információk gyűjtése, hogy azonosítsák a Simda bothálózat mögött álló személyeket, akik pénzért árulják más kiberbűnözőknek az általuk készített malware szolgáltatásait.
A kiiktatási akció eredményeképpen a megfertőzött számítógépekkel való kommunikációra használt parancs és vezérlő szervereket leállították. Ugyanakkor fontos megjegyezni, hogy a fertőzések egy része továbbra is fennáll.
Hogy segítse az áldozatokat PC-jük megtisztításában, a Kaspersky Lab létrehozott egy speciális CheckIP webhelyet. Itt ellenőrizhetik a felhasználók, hogy IP-címüket megtalálták-e a kutatók a Simda parancs és vezérlő szerverein, ami arra utalhat, hogy számítógépük jelenleg fertőzött vagy korábban az volt. Az IP címek a szerverek leállításának eredményeképpen váltak elérhetővé.
Ha valakinek az IP címe érintett, ez még nem jelenti szükségszerűen azt, hogy a gépe fertőzött ? egyes esetekben ugyanazt az IP címet több számítógép is használhatja ugyanabban a hálózatban. Mindenesetre ilyenkor érdemes vírusvizsgálatot végezni egy megbízható biztonsági megoldással.
