Ботнет Ramnit, столь популярный у финансовых фродстеров, низвержен дружными усилиями борцов с киберпреступностью. Трансграничную карательную акцию возглавил Европейский центр по борьбе с киберпреступностью (ЕС3), работающий под эгидой Европола.

Как отмечено в пресс-релизе ЕС3, в совместной операции приняли участие европейские исследователи, а также эксперты Microsoft, AnubisNetworks и Symantec. В результате согласованных действий им удалось нейтрализовать командную инфраструктуру ботнета и перенаправить трафик с 300 доменов, используемых Ramnit, на узлы, контролируемые уполномоченными организациями.

По оценке ЕС3, зловред Ramnit поразил свыше 3,2 млн Windows-компьютеров. Злоумышленники распространяют его через спам, ссылки фишеров и drive-by-загрузки, применяя социальный инжиниринг. Ramnit обеспечивает своим операторам доступ к зараженной машине и позволяет воровать банковские реквизиты, пароли к аккаунтам в социальных сетях, регистрационные данные к FTP-сервисам и многое другое. Данный зловред также способен нейтрализовать антивирусное ПО, оперируя списком популярных защитных решений.

Замглавы ЕС3 по оперативной работе Пол Гиллен (Paul Gillen) заявил Reuters, что участникам операции удалось обезвредить семь C&C-серверов Ramnit. «Злоумышленники потеряли контроль над своей инфраструктурой», — резюмировал он.

Два года назад Microsoft опубликовала подробный отчет о Ramnit, отметив, что его операторы усовершенствовали не только защиту зловреда от обнаружения, но также систему управления ботами. Так, например, они ввели дополнительные операции шифрования, чтобы затруднить детектирование вредоносного кода.

Карательная акция против Ramnit — новейшая в длинной цепочке аналогичных событий в рамках борьбы с ботнетами, которую ведут правоохранительные органы совместно с частными IT-компаниями, в том числе с Microsoft. Последняя открыла на своем сайте новую страницу, поясняющую, как обнаружить и удалить Ramnit с зараженной машины.

«Проведенная операция еще раз доказала важность взаимодействия органов правопорядка и частного сектора для успешной борьбы с такой глобальной угрозой, как киберпреступность, — заявил Вил ван Гемерт (Wil van Gemert), замдиректора ЕС3 по оперативной работе. — Мы полны решимости продолжать операции по выводу из строя ботнетов и подрыву ключевых инфраструктур, используемых киберкриминалом для совершения всевозможных преступлений. Повсеместная защита пользователей от такой преступной деятельности — важная задача, которую мы решаем совместно со странами — участницами ЕС и нашими зарубежными партнерами».

Для Microsoft, напомним, это далеко не первый опыт противодействия ботоводам. На ее счету уже целый ряд аналогичных операций, в том числе против Nitol, ZeuS и GameOver/CryptoLocker. К сожалению, не все инициативы софтверного гиганта на этом поприще прошли гладко. Так, летом прошлого года Microsoft провела атаку на инфраструктуру сразу нескольких вредоносных семейств и подала иск против DDNS-провайдера, услугами которого пользовались злоумышленники. В ходе операции экспертам удалось подменить ряд ассоциируемых с ботнетами доменов, однако оказалось, что некоторые из них используются для ИБ-исследований. Кроме того, не согласованная ни с кем разгромная акция повлекла деградацию в DNS-обслуживании легитимных клиентов провайдера. В итоге Microsoft пришлось вернуть все захваченные домены оператору DNS-сервиса, который со своей стороны согласился оказать помощь экспертам в идентификации вредоносных поддоменов.

В недавно опубликованном отчете «Лаборатории Касперского» о финансовых угрозах было отмечено, что в 2014 году защитные решения ИБ-компании зафиксировали 23 млн атак, использующих банковских троянцев и других финансовых зловредов вроде Ramnit. Согласно представленной в этом отчете статистике, за год доля вредоносных атак, нацеленных на клиентуру онлайн-банкинга, возросла на 8,9 процентного пункта, до 76,5% всех атак с участием финансовых зловредов.

«Рискую разочаровать тех, кто думает, что злоумышленники действуют безнаказанно, — заявил Дэвид Эмм (David Emm), ведущий региональный эксперт Центра глобальных исследований и анализа угроз «Лаборатории Касперского». — Однако полицейские службы способны пресечь деятельность киберпреступников. Особо отмечу важность международного сотрудничества, так как киберпреступность — явление глобальное».

Категории: Главное, Кибероборона