Simda botnet zahvaćenost
Internet

Udruženo protiv botneta Simda!

U globalnoj operaciji koju je predvodio INTERPOL Globalni kompleks za inovacije sa sedištem u Singapuru, zajedno sa liderima IT industrije, kompanijama Kaspersky Lab, Microsoft, Trend Micro i japanski Institut za sajber odbranu, i u kolaboraciji sa bezbednosnim agencijama, zaustavljen je botnet Simda – mreža koja je zarazila na hiljade kompjutera širom sveta.

Nizom simultanih akcija izvedenih u četvrtak 9. aprila, zaplenjeno je 10 servera za komandu i kontrolu u Holandiji, a drugi serveri su srušeni u Americi, Rusiji, Luksemburgu i Poljskoj.  U operaciji su učestvovali i eksperti iz holandske Nacionalne jedinice za visokotehnološki kriminal, FBI, Policijsko odeljenje za nove tehnologije iz Luksembruga, Uprava “K” za sajber kriminal ruskog Ministarstva unutrašnjih poslova, uz podršku INTERPOL Nacionalnog centralnog biroa u Moskvi.

Simda botnet zahvaćenost

Simda botnet zahvaćenost

Očekuje se da će ovo gašenje servera uništiti botnet. Na ovaj način se povećava rizik i trošak za sajber kriminalce koji nameravaju da nastave svoj ilegalni biznis i mogu se sprečiti zloćudni napadi na kompjutere žrtava.

  • Simda je “pay-per-install” malware koji se koristi da bi se distribuirao ilegalni softver i različiti tipovi malware-a, uključujući i one koji mogu da ukradu finansijske akreditive. Pay-per-install model dozvoljava sajber kriminalcima da zarade novac prodavanjem pristupa zaraženim kompjuterima drugim kriminalcima koji onda instaliraju dodatne programe na njima.
  • Simda se širi preko izvesnog broja zaraženih sajtova. Napadači su u legitimne sajtove i servere ubacivali zloćudne kodove. Prilikom korišćenja ovih stranica, zloćudni kod je uspevao da tajno instalira svoj sadržaj sa zloupotrebljenog sajta i da zarazi neažurirani kompjuter..
  • Simda botnet je primećen u više od 190 zemalja, među kojima su zemlje koje su najviše pogođene ovim napadima Amerika, Velika Britanija, Rusija, Kanada i Turska.
  • Procenjuje se da je bot zarazio oko 770 000 kompjutera širom sveta, sa najvećim brojem žrtava u Americi (više od 90 000 novih zaraženih kompjutera od početka 2015.)
  • Tokom godina, Simda je postajao sve prefinjeniji i uspevao da iskoristi bilo koju vrstu slabosti u sistemu, a nove verzije koje su se teško mogle detektovati bile su generisane i distribuirane veoma brzo. Kolekcija virusa kompanije Kaspersky Lab danas sadrži više od 260 000 izvršnih fajlova koji pripadaju različitim verzijama Simda malware-a.

Trenutno se sakuplja informacija i znanje da bi se identifikovali akteri koji stoje iza Simda botneta.

 “Ova uspešna operacija naglašava značaj i potrebu postojanja partnerstava koja uključuju nacionalne i međunarodne bezbednosne agencije i privatne kompanije u borbi protiv globalnih pretnji sajber kriminala”, rekao je Sanjaj Virmani, direktor Interpolovog Digitalnog centra za kriminal. “Ova operacija zadala je veliki udarac na Simda botnet. Interpol će nastaviti da pomaže zemljama članicama da bi zaštitila njihove građane od sajber kriminala i da bi se identifikovale rastuće pretnje.”

 “Botnetovi su geografski distribuirane mreže i generalno je težak zadatak da se one ugase. To je razlog zašto je zajednički rad privatnog i javnog sektora od tako velikog značaja – svaka strana doprinosi zajedničkom projektu na svoj način. U ovom slučaju, uloga kompanije Kaspersky Lab je bila da pruži tehničke analize bota, da sakupi botnet telemetriju sa Kaspersky Security mreže i da savetuje o formiranju strategija za uništenje botneta”, dodao je Vitali Kamluk, glavni istraživač za sigurnost kompanije Kaspersky Lab.

Kao razultat ove operacije, ugašeni su serveri za komandu i kontrolu koje kriminalci koriste da komuniciraju sa zaraženim mašinama. Međutim, bitno je dodati da su neke zaraze još uvek tu. Da bi pomogli žrtvama da očiste svoj kompjuter, Kaspersky Lab je kreirao specijalni CheckIP website. Na ovom sajtu, korisnici mogu da provere da li je njihov IP primećen u Simda serverima za komandu i kontrolu, što bi značilo da postoji aktivna zaraza ili je postojala zaraza u prošlosti. Ove IP adrese su postale dostupne kao rezultat operacije gašenja servera.

Ako sajt prepozna IP korisnika, to ne znači automatski da je sistem zaražen – u nekim slučajevima jedna IP adresa može biti korišćena od strane više kompjutera na istoj mreži (na primer, mogu biti povezani na isti internet provajder).

Leave a Reply