Õiguskaitseorganid üle maailma tõkestasid paljusid kauakestnud robotvõrke, mida võimestab pahavara perekond hüüdnimega Gamarue, mida ESET tuvastab enamasti kui Win32/TrojanDownloader.Wauchos ja mida tuntakse ka nime all Andromeda. See kroonis enam kui aastast ühist jõupingutust, mis põhines Microsofti ja ESET-i teadurite tehnilisel teabel. ESET, mille poole pöördus Microsoft, et ühendada tõkestuspingutused, väljastas operatsiooni tehnilise analüüsi, mis lõpptulemusena lõpetas Wauchose arvestatuse. ESET-i teadurid jälitasid tihedalt robotivõrke, tuvastasid nende ründe-käsk-ja-kontroll-(C&C/command-and-control)-serverid, ja jälgisid seda, mida need ohtu levitades paigaldasid ohvrite süsteemidesse. Seejärel võttis Microsoft ühendust õiguskaitsega edastades teavet, mis sisaldas 464 eristatavat robotvõrku, 80 nendega seotud pahavaraperekonda, ning robotivõrkude C&C serverite 1214 domeeni ja IP aadressi.
Wauchos: ülemaailmne nuhtlus
Wauchos on ringelnud vähemalt 2011. aasta septembrist, muutudes aastate jooksul viieks peamiseks versiooniks. See on valmis krahmama eeskätt interneti pimenurkades kuritegevuskomplektina, mis võimaldab igaühel kurjade kavatsustega osta ’tükikest’.
Levikukaart, mis põhineb ESET-i telemeetrial (joonis 1), näitab Wauchose, mis on loonud arvukalt eraldiseisvaid robotivõrke maailma erinevates osades, ülemaailmset ulatust.
Joonis 1: Wauchos’i levikukaart (detsember 2016, allikas: http://virusradar.com/)
Microsofti andmetel avastati või blokeeriti nakatumine viimase poole aasta jooksul igas kuus keskmiselt peaaegu 1,1 miljonis seadmes.
Ohu seire ajal leidis ESET igas kuus tosinaid C&C servereid. Enamus ESET-i uurimistööst viidi läbi eelmise aasta lõpus, kui Wauchos’i aktiivsuse tipp selleks ajaks keskmiselt vähenes.
„Wauchost kasutatakse enamasti selleks, et varastada volitusi, ning laadida alla ja paigaldada süsteemi lisapahavara. Seega, kui süsteemi ohustab Wauchos, on kohal ka mitmed teised pahavaraperekonnad, mis luuravad samas süsteemis,“ väidab ESET-i teadur Jean-Ian Boutin.
Teised pahavaraliigid, mis ohustavad ohver-seadmeid pärast seda, kui nad on köidetud robotivõrku, on peamiselt Kasidet, mida tuntakse ka Neutrino roboti nime all ja kasutatakse viimaks läbi DDoS (distributed denial-of-service) – hajutatud teenusetõkestamise – rünnakuid, ning Kelihose ja Lethic’u spämmirobotid, mida on kaasatud massilise rämpsposti kampaaniates.
Oma modulaarsuse tõttu võib Wauchose toimimine laieneda puginate abil. Siia kuuluvad klahvinuhk ja vormihõlvaja, mõlemad võivad näpata kasutaja isikuandmeid, lisaks juurpahavara, mida võib kasutada varjamaks pahavara kohalolekut ja lõpptulemusena kindlustada selle püsivus ohustatud süsteemis.
Kuna Wauchost ostavad ja päästavad valla mitmesugused küberkurjategijad, erinevad ka sama palju rünnakute suunad, mida kasutatakse ohu levitamiseks. Pahavara levitatakse kõige üldisemalt sotsiaalmeedia, kiirsõnumite, irdketaste, spämmi (vt. joonis 2) ja ärakasutamisvahendite kaudu.
Joonis 2. Tüüpiline pahaspämm koos lisatud Wauchose näidisega.
Nagu juhtumid teiste pahavaradega, loodi paljud Wauchose näidised, mida analüüsis ESET, selleks, et kontrollida süsteemi klaviatuuripaigutust. Kui see oli vene, ukraina, valgevene või kasahhi keele järgi, väljub kood tegemata midagi halba. Selline taktika on arvatavasti mõeldud kindlustamaks, et neis riikides väldiks pahategijad vastutuselevõtmist.
Aastate jooksul on teave, mida edastab ESET, olnud paljude kriminaalsete tegevuste kõrvaldamisel abistav, kaasa arvatud Dorkbot’i ja Mumblehard’i robotivõrgud ja Avalanche fast-flux-võrk, mida kasutasid paljud teised robotivõrgud.
Kui te tunnete muret, et teie Windowsi süsteemi võib ohustada Wauches, ja te pole ESET-i klient, võite alla laadida ja kasutada tasuta veebiskännerit ESET’s Free Online Scanner, mis eemaldab kõik ohud, kaasa arvatud Wauchose, mis võivad leiduda teie süsteemis.
Detailne analüüs, kuidas ESET aitas tõkestada neid murettekitavaid robotivõrke, on saadaval siin: ESET takes part in global operation to disrupt Gamarue.
Allikas: Welivesecurity
