Wielu ludzi wciąż myśli, że malware to oprogramowanie, które całkowicie zakłóca normalną pracę komputera. W końcu jeśli sprzęt działa normalnie, to nie może być zainfekowany, prawda? Nic bardziej mylnego. Twórcy malware’u to nie są już znudzeni cyberkowboje. Głównym celem cyberprzestępców nie jest planowanie cyberkatastrofy, aby czerpać z niej satysfakcję, ale aby zarabiać pieniądze. W większości przypadków takie ukierunkowanie wyznacza całkowite inne podejście, jeśli chodzi o zachowanie szkodliwego oprogramowania na komputerze: najlepsze jest najmniej widoczne dla użytkownika.
Takie podstępne zachowanie jest często typowe na przykład dla botnetów. Zazwyczaj składają się one z tysięcy komputerów, a największy liczył nawet setki tysięcy. Właściciele tych komputerów nie mają żadnego pojęcia, że są zainfekowani. Mogą jedynie zauważyć, że ich komputer działa nieco wolniej, co nie jest z kolei takie nietypowe.
Botnety gromadzą dane osobiste zawierające hasła, numery ubezpieczeń społecznych, szczegóły kart kredytowych, adresy i numery telefonów. Dane te mogą zostać wykorzystane w przestępstwach takich jak kradzież tożsamości, oszustwa różnego rodzaju, rozsyłanie spamu i innej szkodliwej treści. Botnety mogą także zostać użyte do przeprowadzenia ataków na konkretne strony i sieci.
Zamknięcie dużego botnetu wymaga włożenia wiele wysiłku przez kilka firm współpracujących. Najnowszym przykładem jest botnet Simda, który zainfekował ponad 770 000 komputerów w ponad 190 krajach, wśród których najbardziej zainfekowana były Stany Zjednoczone, Wielka Brytania, Turcja, Kanada i Rosja.
Simda to „botnet sprzedający” używany do dystrybucji nielegalnego i szkodliwego oprogramowania, włącznie z tym zdolnym do wykradania danych finansowych. Twórcy określonych szkodliwych programów płacili właścicielom Simda za każdą jedną instalację. Innymi słowy, ten botnet to rodzaj ogromnego łańcucha handlowego między twórcami szkodliwego oprogramowania.
Botnet był aktywny przez wiele lat. Aby szkodliwe oprogramowanie było jeszcze bardziej efektywne, osoby odpowiadające za Simdę ciężko pracowały nad nowymi wersjami programu, generując i dystrybuując je nawet co kilka godzin. Obecnie kolekcja wirusów firmy Kaspersky Lab zawiera ponad 260 000 plików wykonywalnych należących do różnych wersji Simdy.
Czy Twój komputer jest częścią botnetu Simda? Sprawdź to!
W czwartek, 9 kwietnia, zdjęto równocześnie 14 serwerów poleceń i kontroli botnetu Simda, znajdujących się na terenie Królestwa Niderlandów, Stanów Zjednoczonych, Luksemburga, Rosji i Polski.
Lista organizacji, które pomogły w zamknięciu botnetu, uświadamia jego złożoność: Interpol, Microsoft, Kaspersky Lab, Trend Micro, Instytut ds. Cyberobrony z Japonii, FBI, jednostka holenderskiej policji NHTCU, sekcja policji Police Grand-Ducale Section Nouvelles Technologies z Luksemburga oraz Departament ds. Cyberprzestępczości „K” Rosyjskiego Ministerstwa ds. Wewnętrznych.
„Botnety to geograficznie rozproszone sieci, dlatego ich ‚odłączenie’ stanowi zwykle wyzwanie. To dlatego tak istotna jest tu współpraca pomiędzy sektorem publicznym a prywatnym – każda strona wnosi swój istotny wkład we wspólny projekt” – powiedział Witalij Kamliuk, główny badacz ds. bezpieczeństwa, Kaspersky Lab, obecnie oddelegowany do Interpolu. ” W tym przypadku zadaniem Kaspersky Lab było dokonanie analizy technicznej szkodliwego kodu, gromadzenie danych telemetrycznych dotyczących botnetu z sieci Kaspersky Security Network oraz doradzanie na temat strategii odłączania sieci zainfekowanych maszyn”.
Ponieważ śledztwo trwa, jest zbyt wcześnie, aby powiedzieć, kto stoi za botnetem Simda. Dla użytkowników istotne jest to, że w wyniku operacji serwery dowodzenia i kontroli używane przez przestępców do komunikowania się z zainfekowanymi maszynami zostały zamknięte. Chociaż działanie botnetu Simda jest wstrzymane, osoby, których komputery były zainfekowane, powinny pozbyć się tego szkodnika tak szybko, jak jest to możliwe.
Na podstawie zebranych z serwerów botnetu Simda informacji eksperci z Kaspersky Lab stworzyli specjalną stronę, na której możesz sprawdzić, czy adres IP Twojego komputera znajduje się na liście zainfekowanych.
Inną opcją, aby upewnić się, że wszystko jest w porządku z Twoim komputerem, jest użycie darmowego narzędzia Kaspersky Security Scan lub pobranie miesiecznej wersji próbnej naszego programu, Kaspersky Internet Security. Oczywiście wszystkie rozwiązania Kaspersky Lab wykrywają szkodliwy program Simda. Więcej informacji o botnecie Simda znajduje się w języku angielskim w serwisie Securelist.