Darkbot: cinci ani de la detecție


În jumătatea de deceniu care a trecut, de când Dorkbot a fost identificat pentru prima dată, milioane de victime nevinovate, operând în rutina lor zilnică, au fost afectate în peste 190 de țări. Și-a croit, literalmente, trasee malware în sistemele informatice din întreaga lume, necruțând pe nimeni care îi apărea în cale. Industria de securitate a informațiilor a fost în deplină cunoștință de acest fenomen.

Acesta este motivul pentru care, în spatele scenei, profesioniștii au încercat să-și dea seama cum să abordeze în mod eficient amenințarea, detectată ca Win32/Dorkbot. Tot acest efort a avut într-un final un rezultat și, spre sfârșitul anului 2015, a fost realizat un progres notabil. ESET, împreună cu Microsoft, CERT.PL și numeroase organisme de aplicare a legii (FBI, Interpol și Europol) din întreaga lume, au dat o lovitură dură acestei amenințări globale.

Împreună, această echipă de experți au destabilizat infrastructura Dorkbot, "scufundând" serverele sale de comandă și control (C & C), după cum relatează cercetătorul ESET, Jean-Ian Boutin. În Asia, Europa și America de Nord, infractorii cibernetici au fost împiedicați să continue aceste acțiuni. Mai mult decât atât, operațiunea de înaltă tehnologie de blocare a acestei rețele a dus, de asemenea, la confiscarea de domenii, ceea ce înseamnă că “abilitatea” operatorilor botnet de a prelua controlul asupra computerului victimei a fost afectată.

Drept rezultat, în perioada premergătoare Crăciunului - știrile au fost făcute publice la începutul lunii decembrie – a fost oferit un frumos cadou tuturor. Și, în timp ce lupta continuă, aceasta rămâne o victorie importantă pentru utilizatorii de internet.

Începuturile Dorkbot-ului

În aprilie 2011, a apărut prima variantă a Dorkbot-ului. Această versiune nu a fost larg răspândită. Cu toate acestea, o lună mai târziu, o altă variantă a dus lucrurile la un alt nivel. A fost, după cum s-a menționat de către cercetătorul ESET Pablo Ramos, în articolul din 2012 intitulat “Dorkbot: Vânătoare Zombiilor în America Latină”, “cea mai utilizată variantă malware”. Principalele sale funcționalități, a relatat Pablo, includeau răspândirea prin rețelele sociale. Dintre toate tipurile de malware, în acel an cel mai mare impact a fost asupra utilizatorilor din America Latină. Prevalența sa a fost extraordinară.

Dl Ramos, care a prezentat concluziile sale în Dallas la Virus Bulletin Conference, în 2012, a explicat de ce: “Unul dintre principalele motive pentru concentrația infectărilor în America Latină este lipsa educației în teme de securitate și lipsa pe scară largă a recunoașterii faptului că amenințările pot utiliza rețelele sociale pentru răspândire. Dorkbot poate fi găsit pe unul din zece calculatoare din America Latină.”

Atragerea atenției la nivel mondial

În acel an impactul era încă la nivel regional, dar, în 2012, Dorkbot a câștigat în cele din urmă notorietate internațională prin atacarea cu succes a milioane de utilizatori de Skype. Victimele au fost vizate, de această dată, la nivel mondial. Un motiv important pentru succesul în propagarea malware-ului a fost din cauza faptului că utilizatorii acestei aplicații chat-video au fost, la momentul respectiv, mai puțin suspicioși în legătură cu amenințările cibernetice.

Utilizatorii primeau un link corupt care părea să vină de la cineva de pe lista lor de contacte – cineva în care aveau încredere, de obicei. Mesajul care preceda link-ul transmitea un mesaj de tipul “este noua ta poză de profil?”. Părea ceva destul de nevinovat. Cu toate acestea, în momentul în link-ul era accesat, un troian era descărcat fără cunoștința utilizatorului. De cele mai multe ori software-ul rău intenționat infiltrat era de tipul ransomware.

Câteva din caracteristicile Dorkbot

Criptarea de fișiere nu este singurul instrument din arsenalul său. Dorkbot instalează, de asemenea, software malițios suplimentar pe computere și fură informații personale, precum parole și nume de utilizator. Este extrem de eficient și poate fi răspândit prin diverse canale, inclusiv prin dispozitive portabile, cum ar fi stick-urile USB, cu ajutorul social media, prin spam și kituri exploit.

Scopul principal al viermelui este de a servi în cele din urmă ca un backdoor, ce permite accesul de la distanță al infractorilor cibernetici la sistemele infectate prin intermediul serverelor C & C. Scenariul tipic de instalare este următorul:

O dată executat, malware-ului se copiază în %appdata%\­%variable%.exe. Apoi, pentru a se asigura că se execută la fiecare pornire a sistemului, stabilește o intrare ascunsă în regiștrii. În loc de %variable%,, este utilizat un șir cu conținut variabil. Viermele se dezvoltă apoi și rulează un nou fir de execuție cu propriul său cod de program. Niciunul dintre aceste lucruri nu este vizibil pentru utilizatori.

O amenințare activă de care să vă feriți

Dorkbot este acum activ continuu de cinci ani. L-ați putea descrie ca fiind vechi, dar nu este corect din punct de vedere tehnologic, deoarece continuă să se reinventeze, așa cum domnul Boutin a explicat anul trecut. Dorkbot folosește “trucuri vechi” – iar aceasta ar putea fi strategia cheie de doborâre a sa.

Mii de detecții continuă să se facă săptămânal, cercetătorul ESET în domeniul malware a declarat anul trecut, că noi incidente apar în întreaga lume. Mostre proaspete “sunt livrate zilnic” și această persistență l-a constituit într-o țintă în care merită depus efort concentrat de analiză.

Din păcate, precum cele mai multe amenințări de acest tip, constatarea de către utilizatori a reușitei atacului vine prea târziu (după cum vor relata milioane de victime). Utilizatorii se trezesc pur și simplu într-o dimineață și văd că fișierele lor sunt blocate cu un mesaj de tip pop-up, iar pe ecranul lor li se cere plata unei taxe într-o perioadă scurtă de timp. Sau verifica soldul contului lor bancar și constată că a fost golit.

În absența acestor incidente nefericite, o scanare completă, care detectează și curăță sistemul dvs. este, probabil, modul cel mai bun în care veți descoperi și remedia prezența viermilor, a subliniat dl. Boutin. Prevenirea este întotdeauna cheia, astfel încât utilizatorii cu o soluție de securitate actualizată sunt deja într-un loc sigur, așa cum sunt și cei care respectă cele mai bune practici de securitate.

Dincolo de toate acestea, știind că există persoane la organizații precum ESET, Centrul European al Criminalității Cibernetice Europol și Interpol, care lucrează din greu să elimine amenințarea, căutând sursa, este liniștitor. Există însă  multe bariere tehnice complicate pentru a răzbate, care necesită un nivel de expertiză pe care numai profesioniști experimentați o posedă. Este un efort de colaborare permanent.

“Botneții precum Dorkbot au afectat utilizatori la nivel mondial, motiv pentru care o abordare globală de aplicare a legii în colaborare cu sectorul privat este atât de importantă”, a declarat Wil van Gemert, director adjunct al operațiunilor de la Europol, în decembrie.

“Europol își dorește să-și unească eforturile cu forțele de aplicare a legii și cu partenerii din sectorul privat pentru a învinge botneții rău intenționați, care au potențialul de a afecta milioane de victime.”

 

EDITOR

Georgiana April 25, 2016

Lasa un comentariu