В мае этого года исследователи из Университета Индианы обнаружили в социальной сети X (тогда ещё Twitter) ботнет на базе ChatGPT. Ботнет, названный Fox8 из-за его связи с одноимёнными криптовалютными сайтами, состоял из 1140 учётных записей. Многие из них использовали ChatGPT для создания постов в социальной сети и для ответа на посты друг друга. Автоматически сгенерированный контент побуждал ничего не подозревающих людей перейти по ссылкам на сайты с рекламой криптовалют.

Источник изображения: unsplash.com

Эксперты уверены, что ботнет Fox8 может быть лишь верхушкой айсберга, учитывая, насколько популярными стали большие языковые модели и чат-боты. «Единственная причина, по которой мы заметили этот конкретный ботнет, заключается в том, что он работал небрежно», — отметил профессор Университета Индианы Филиппо Менцер (Filippo Menczer). Исследователи обнаружили ботнет, выполнив поиск на платформе по контрольной фразе «Как языковая модель ИИ…», которую ChatGPT иногда использует для подсказок по деликатным темам. Затем они вручную проанализировали учётные записи и выявили те из них, которыми управляли боты.

Несмотря на свою «небрежность», ботнет опубликовал множество убедительных сообщений, рекламирующих криптовалютные сайты. Очевидная лёгкость, с которой ИИ OpenAI был использован для мошенничества, означает, что продвинутые ботнеты могут использовать чат-боты на основе ИИ более изощрённо, не давая себя обнаружить. «Любой хороший плохой парень не допустит такой ошибки», — шутит Менцер.

ChatGPT и другие чат-боты используют большие языковые модели для генерации текста в ответ на запрос. Располагая достаточным количеством обучающих данных, серьёзными вычислительными мощностями и обратной связью от людей-тестировщиков, такие боты могут удивительно адекватно реагировать на широкий спектр входных данных. Но они также могут высказывать ненавистнические сообщения, демонстрировать социальные предубеждения, генерировать выдуманную информацию и помогать хакерам в создании вредоносного ПО.

Источник изображения: Pixabay

«Это обманывает и платформу, и пользователей», — говорит Менцер о ботнете на базе ChatGPT. Если алгоритм социальных сетей обнаружит, что публикация пользуется большой популярностью (даже если эта активность исходит от других ботов), он покажет публикацию большему количеству людей. Правительства и организации, желающие проводить кампании по дезинформации, скорее всего, уже разрабатывают или внедряют такие инструменты, уверен Менцер.

Исследователи уже давно обеспокоены тем, что технология, лежащая в основе ChatGPT, может представлять риск дезинформации, и OpenAI даже отложила выпуск следующей версии системы из-за подобных опасений. Профессор Калифорнийского университета Уильям Ван (William Wang) считает, что многие спам-страницы теперь создаются автоматически, и констатирует, что людям становится всё труднее обнаружить подобные материалы по мере совершенствования ИИ.

Лаборатория Вана разработала метод автоматического определения текста, сгенерированного ChatGPT, но его внедрение обходится дорого, поскольку он использует API OpenAI, а базовый ИИ постоянно совершенствуется. X может стать благодатной площадкой для испытаний таких инструментов. Менцер утверждает, что вредоносные боты в последнее время резко повысили свою активность, а исследователям стало сложнее изучать проблему из-за резкого повышения цен на использование API соцсети.

Ботнет Fox8 был удалён лишь после того, как исследователи опубликовали в июле статью, хотя они сообщали об этом ещё в мае. Менцер утверждает, что его группа перестала извещать X о своих исследованиях ботнетов. «Они не особо реагируют, — говорит он. — У них действительно нет персонала».

Принципиальная политика разработчиков моделей ИИ запрещает использовать чат-боты для мошенничества или дезинформации. OpenAI пока не дала комментариев по поводу ботнета, использующего ChatGPT.

В прошлом году в Рунете огромная доля трафика пришлась на ботов — они сгенерировали 40,5 % трафика, что на 5 процентных пунктов больше, чем в 2021 году. Как сообщают «Ведомости» со ссылкой на собственные источники, сгенерированный людьми трафик сократился с 64,5 % до 59,5 %.

Источник изображения: geralt/unsplash.com

В агентстве Telecom Daily сообщили, что фиксированный трафик в 2022 году вырос на 16 % с 78 до 91 эксабайта, а мобильный — на 18 % с 29,6 до 36 эксабайт. По словам менеджера продукта Qrator.AntiBot в Qrator Labs Георгия Тарасова, только 17,5 % общего трафика приходится на «хороших» ботов вроде тех, что работают на индексацию сайтов. Вредоносные боты передают огромные массивы информации — их доля в общем трафике увеличилась с 19 % до 23 %.

Рост трафика, генерируемого ботами, подтверждают эксперты других компаний. Отмечается, что в первом полугодии число ботов-вредоносов продолжает множиться: они собирают информацию о пользователях, оставляют спам-комментарии, размещают фальшивые отзывы и «скликивают» рекламные объявления конкурентов. В некоторых случаях они способны даже остановить работу сайта, организуя DDoS-атаки. Как сообщают эксперты, если раньше такие боты угрожали преимущественно сайтам, связанным с интернет-торговлей, то теперь атакуют ресурсы из сферы энергетики, ЖКХ, здравоохранения, образования и сферы развлечений.

При этом подчёркивается, что рост активности ботов — общемировая тенденция. Как сообщили специалисты Imperva, в прошлом году «человеческий» трафик достиг рекордно низких значений, упав до 52,6 %, — остальные 47,5 % пришлись на ботов. В мире, в отличие от России, ситуация с «плохими» ботами ещё хуже — на их долю приходится 30,2 % всего трафика, на 2,5 п.п больше год к году. Виной всему — развитие технологий и автоматизация процессов в Сети, а также упрощение разработки ботов и рост масштабов мошеннических проектов. Благодаря падению цен на «плохих» ботов, их применяют всё шире и активнее. Применение ботов продолжает дешеветь благодаря снижению цен на вычислительные ресурсы, немалый вклад вносит и развитие Интернета вещей. По имеющимся данным, к Сети подключены более 14 млрд устройств, которые плохо защищены и легко превращаются в участников ботнетов.

«Хорошие» боты тоже повысили активность, в том числе — благодаря развитию систем искусственного интеллекта. Например, простой запрос к ИИ с просьбой спланировать поездку вызывает целую серию взаимодействий с Сетью — бот проверяет наличие билетов, прогноз погоды, цены, отзывы туристов и наличие доступных мест в гостиницах. Именно это и считается «хорошим» бот-трафиком.

Как считают эксперты, по доле трафика боты в ближайшее время обгонят людей, а простота их создания будет только способствовать этому.

Стало известно, что Министерство юстиции США совместно с правоохранительными органами Великобритании, Германии и Нидерландов ликвидировала располагавшийся на территории России ботнет RSOCKS. Об этом пишет РБК со ссылкой на заявление американского ведомства.

Источник изображения: Pixabay

«В ходе операции была ликвидирована расположенная в России продвинутая преступная организация, которая занималась кибервзломами в США и других странах», — прокомментировала данный вопрос участвовавшая в операции агент ФБР Стэйси Моя.

Дело рассматривается в Южном округе штата Калифорния, но конкретные имена возможных фигурантов озвучены не были. По данным следствия, пользователи упомянутого прокси-сервиса осуществляли проведение крупных хакерских атак на службы аутентификации, известных как вброс учётных данных, а также анонимизировали себя во время доступа к скомпрометированным учётным записям в социальных сетях или распространяли вредоносные электронные письма, включая фишинговые.

В сообщении сказано, что борьба с хакерской сетью была начата в 2017 году, когда агенты ФБР провели тестовые закупки для получения доступа к ботнету. Это было необходимо для идентификации инфраструктуры сети и потенциальных жертв. Специалисты установили, что хакерам удалось взломать около 325 тыс. электронных устройств. В число пострадавших вошли несколько крупных государственных и частных организаций, а также частные лица.

В марте Министерство юстиции США обвинило четырёх россиян в проведении кибератак против систем безопасности энергетических компаний из разных стран мира, которые были зафиксированы в период с 2012 по 2018 годы. За информацию о местонахождении четырёх хакеров было объявлено вознаграждение в размере $10 млн. В обвинении сказано, что одна из целей хакеров заключалась в получении «тайного несанкционированного и постоянного» доступа к сетям энергетических компаний, включая нефтегазовые предприятия, атомные электростанции, коммунальные предприятия и др.

Специализирующаяся на кибербезопасности компания Qrator Labs доложила об обнаружении нового источника DDoS-атак — мощного ботнета, который состоит из 160 тыс. устройств. Ботнет атакует сетевые инфраструктуры российских ретейлеров, но используется не для нанесения ущерба, а для дата-майнинга, то есть сбора информации, составляющей коммерческую тайну.

Источник изображения: Gerd Altmann / pixabay.com

Как сообщает «Коммерсантъ», в IV квартале прошлого года компания Qrator Labs обнаружила массированные атаки, осуществляемые мощным ботнетом из 160 тыс. устройств. Подчёркивается, что сеть заражённых компьютеров и другого сетевого оборудования использовалась для сбора коммерческих данных компаний в целях их последующего анализа и перепродажи. Как уточнил гендиректор Qrator Labs Александр Лямин, жертвами новой вредоносной сети оказались крупные российские ретейлеры.

Использование нового ботнета не для нанесения прямого ущерба технической инфраструктуре жертв, а для дата-майнинга, то есть кражи данных, нисколько не облегчает ситуацию. DDoS-атаки такого рода могут использоваться мошенниками в целях кражи или накрутки бонусных баллов, а также как инструмент конкурентной борьбы — с целью их последующего анализа.

Замдиректора по информационной безопасности в розничной сети «Лента» Дмитрий Гладченко подтвердил, что в последнее время активизировались атаки на ретейлеров. В большинстве случаев злоумышленники пытаются похищать персональные данные — причём как покупателей, так и сотрудников компаний. Господин Гладченко подчеркнул, что в прошедшем году специалистам компании удалось обеспечить сохранность конфиденциальной информации. Хотя в целом это серьёзная угроза для бизнеса.

В докладе Qrator Labs также говорится, что, по данным на конец 2021 года, чаще всего DDoS-атакам подвергались сервисы для создания сайтов (24 % инцидентов), образовательные организации (12,29 %), а также компании из сферы электронной коммерции (10,21 %).

Google доложила о нейтрализации огромной сети компьютеров, заражённых вредоносом под названием Glupteba. По оценкам компании, ему удалось заразить около миллиона Windows-ПК по всему миру, что делает данный ботнет одним из крупнейших за всю историю.

Источник изображения: Gerd Altmann / pixabay.com

Ботнетом называется сеть из компьютеров или подключённых к интернету устройств, заражённых вредоносным ПО, которое контролируется одним оператором. В случае с Glupteba, утверждает Google, удалось установить причастность к инциденту как минимум двух россиян. Компания подала против них судебный иск, чтобы «создать прецедент, юридические риски для операторов ботнетов, а также помочь предотвратить будущую активность».

Google установила, что ежедневно в сети появлялись 1000 новых устройств. Заражение происходило на сайтах, предлагавших бесплатное ПО. Операторы Glupteba использовали ботнет для кражи персональных данных, майнинга криптовалют и перенаправления трафика через заражённые машины. Было заблокировано более тысячи аккаунтов Google, которые использовались для распространения Glupteba.

Для нейтрализации угрозы Google плотно сотрудничала с провайдерами, благодаря чему удалось на какое-то время нейтрализовать работу вредоносной сети. Для защиты от полного отключения разработчики Glupteba использовали технологию блокчейна: при отсутствии команды от оператора использовались данные, закодированные в блокчейне биткоина, — в них содержались инструкции по повторному подключению. Google уточнила, что такое решение становится все более распространенным среди разработчиков вредоносного ПО, поскольку даже после серьёзных сбоев блокчейн позволяет ботнетам довольно быстро восстанавливаться.

Служба безопасности Украины (СБУ) арестовала хакера, который разработал и использовал ботнет, состоящий из более чем 100 тысяч ботов. Преступником оказался гражданин Украины, проживающий в городе Ивано-Франковск.

neowin.net

Огромная армия ботов использовалась для осуществления DDoS-атак, рассылки спама или кражи учётных данных пользователей. Ботнет также использовался для выявления слабых мест различных сайтов в рамках подготовки к возможным будущим кибератакам. Заказы на осуществление атак хакер получал через интернет-форумы и Telegram. СБУ удалось отследить хакера благодаря его учётной записи в платёжном сервисе WebMoney, где злоумышленник разместил свой реальный адрес.

Хакеру предъявлены обвинения по двум статьям Уголовного кодекса Украины: создание вредоносного ПО или аппаратного обеспечения с целью распространения или продажи, а также их распространение и продажа; и вмешательство в работу ЭВМ, автоматизированных систем, компьютерных сетей или сетей электросвязи путём распространения телекоммуникационных сообщений. Злоумышленнику грозит лишение свободы сроком до двух лет.

Компания «Ростелеком-солар», специализирующаяся на вопросах кибербезопасности, обнаружила и предотвратила попытку злоумышленников вовлечь более 45 тысяч устройств в ботнет Meris. Эксперты считают, что именно он использовался для рекордной DDoS-атаки на «Яндекс». Предполагается, что в данный момент Meris насчитывает порядка 200 тысяч устройств. Таким образом, «Ростелеком-солар» предотвратила увеличение ботнета на 20 %.

therecord.media

Специалисты компании получили и проанализировали команды, использующиеся для управления заражёнными устройствами. Они определили, что заражённые маршрутизаторы MikroTik обращались к незарегистрированному домену и запрашивали новые инструкции по адресу cosmosentry.com. Инженеры «Ростелеком-солар» зарегистрировали этот домен и разместили на нём сообщение, информирующее пользователей о том, кто владеет доменом и почему маршрутизатор установил это соединение.

Специалисты «Ростелеком-солар» также смогли идентифицировать географическое местоположение устройств, подверженных атаке. По данным компании, более 20 % из них находятся в Бразилии. В топ-5 стран по количеству заражённых роутеров вошли Украина, Индонезия, Польша и Индия. На Россию пришлось менее 4 %.

therecord.media

«Ростелеком-солар» считает, что ботнет Meris был создан с помощью вируса Glupteba, нацеленного на компьютеры, работающие под управлением Windows. Обычно он используется в качестве загрузчика для других вредоносных программ. В настоящее время неизвестно, замешаны ли создатели Glupteba в создании ботнета Meris.

Компания MikroTik опубликовала официальное заявление относительно ботнета Mēris, работа которого обеспечивается в том числе оборудованием латвийского производителя. В документе приведены меры по защите от атак на оборудование.

Источник: mikrotik.com

Ботнет Mēris был обнаружен специалистами Qrator Labs и «Яндекса», когда на ресурсы последнего была осуществлена самая мощная DDoS-атака в истории. По предварительным данным, в ботнете использовалось оборудование MikroTik. Латвийский бренд провёл собственное расследование и установил, что в атаке участвовали роутеры, скомпрометированные в 2018 году, когда была обнаружена уязвимость платформы RouterOS, которая впоследствии была оперативно устранена.

Однако, отметила MikroTik, одного только обновления прошивки недостаточно — если кто-то в 2018 году получил доступ к роутеру, то необходимо ещё сменить пароль. Кроме того, производитель указал на необходимость проверить настройки брандмауэра и поискать скрипты, которые администратор не создавал. Компания попыталась связаться со всеми владельцами устройств на базе RouterOS, однако многие из них никогда не были в контакте с MikroTik и никогда не уделяли особого внимания мониторингу устройств.

На текущий момент, заверила компания, уязвимостей у её продукции нет. Несколько сторонних подрядчиков провели аудит RouterOS. Производитель опубликовал ряд рекомендаций по защите от подобных атак.

• Необходимо регулярно обновлять устройство.
• Не следует открывать доступ к настройкам устройства через интернет. Если удалённый доступ всё же обязателен, лучше пользоваться VPN-сервисом.
• Пароль должен быть сложным и его регулярно нужно менять.
• Не стоит предполагать, что локальная сеть безопасна. Вредоносное ПО может попытаться подключиться к роутеру, если на нем простой пароль, либо он вообще отсутствует.
• Рекомендуется проинспектировать конфигурацию RouterOS на предмет неизвестных настроек.

В сотрудничестве с независимыми экспертами по безопасности было обнаружено вредоносное ПО, которое пытается изменить конфигурацию устройства MikroTik через Windows-компьютеры в сети. Поэтому компания настоятельно рекомендует использовать надёжный пароль для доступа к оборудованию, не допускать возможности входа без пароля и не использовать простые пароли, которые можно подобрать по словарю. Производитель также дал советы по аудиту конфигурации.

• Удалить Fetch-скрипты в планировщике.
• Отключить прокси-сервер SOCKS, если он не используется.
• Удалить L2TP-клиент «lvpn».
• Удалить правило брандмауэра, открывающее доступ через порт 5678.

Стало известно, что роутеры и ADSL-модемы, работающие на основе прошивок от тайваньского OEM-производителя Arcadyan, подвержены серьёзной опасности из-за новой уязвимости программного обеспечения. На атаки хакеров с использованием уязвимости CVE-2021-20090 обратили внимание специалисты компании Bad Packets, работающей в сфере информационной безопасности, а затем этот факт подтвердили в Juniper Labs.

Изображение: The Record

Упомянутую уязвимость обнаружил ранее в этом году исследователь из компании Tenable Эван Грант (Evan Grant). Она может использоваться злоумышленниками для включения пользовательских устройств в ботнет-сеть с целью проведения масштабных DDoS-атак. Проблема существует более десяти лет и затрагивает по меньшей мере 20 моделей роутеров и модемов, которые функционируют под управлением прошивок от Arcadyan и поставляются 17 брендами. В список проблемных устройств входят маршрутизаторы и модемы некоторых крупнейших производителей и интернет-провайдеров, в том числе ASUS, Orange, Vodafone, Telstra, Verizon, Deutsche Telekom, British Telekom и др.

Отметим, что изначально проблема не была столь серьёзной, поскольку хакерские атаки с использованием уязвимости CVE-2021-20090 начались всего несколько дней назад. Этому предшествовал подробный отчёт о проблеме, который был опубликован Эваном Грантом после выхода соответствующего исправления.

Согласно имеющимся данным, уязвимость используется для обхода процесса аутентификации на уязвимых роутерах и модемах с целью изменения конфигурации устройств. Например, включение протокола telnet позволяет в дальнейшем удалённо подключаться к устройствам. По информации Juniper Labs, за атаками на маршрутизаторы стоят хакеры, которые в прошлом управляли крупнейшим ботнетом Mirai.

Работающая в сфере информационной безопасности компания StormWall обнаружила один из самых мощных ботнетов в интернете. Он используется злоумышленниками для организации распределённых атак, направленных на отказ в обслуживании (Distributed Denial of Service, DDoS), а его мощность доходит до внушительных 2 Тбит/с.

Источник изображения: depositphotos.com

По данным StormWall, новый ботнет имеет испанское происхождение и состоит из 49 тысяч заражённых устройств, среди которых, как утверждается, фигурируют только серверы, обычные же компьютеры и мобильные устройства отсутствуют. Воспользоваться ресурсами такой ботнет-сети киберпреступники могут за 2,5 тысячи долларов США — такова стоимость аренды за два дня.

Уточняется, что DDoS-атаки, осуществляемые новым ботнетом, достаточно стандартны. Он умеет запускать атаки по протоколам UDP, TCP и HTTP с эмуляцией браузера. Ботнет-сеть уже активно применяется злоумышленниками для атак на игровую индустрию и российские компании.

«Новый ботнет намного опаснее своих предшественников. Атаки такой мощности затрагивают не только жертву, но и всю цепочку его провайдеров и может вызвать проблемы с доступом к интернету одновременно у сотен тысяч пользователей и онлайн-ресурсов. Из-за того, что атака имеет большую мощность, защита от неё будет стоить дорого, и справиться с ней смогут только облачные сервисы DDoS-защиты, обладающие достаточной ёмкостью сети фильтрации, а о самостоятельной защите не может быть и речи», — говорится в заявлении StormWall.

По мнению экспертов, интенсивность DDoS-атак продолжит расти: общее число нападений будет увеличиваться на фоне роста продолжительности, мощности и эффективности продуманных целенаправленных атак.

Компания Avast сообщила, что в первом полугодии 2021 года вредоносная программа DirtyMoe с китайскими корнями кратно увеличила свою активность. Если год назад было заражено до 10 тыс. машин во всём мире, то сегодня речь идёт о заражении 100 тыс. компьютеров, 65 тыс. из которых приходится на российский сегмент интернета. И это только данные Avast. Об истинном размахе проблемы остаётся только догадываться.

Источник изображения: Avast

По мнению экспертов, слова которых приводит издание «Коммерсантъ», компьютеры российских пользователей наиболее уязвимы к атакам вредоносных программ, поскольку программное обеспечение часто не лицензионное и из сомнительных источников. В то же время надо отметить, что зловред DirtyMoe постепенно улучшается своими авторами, предположительно, китайцами, и в конце прошлого года получил модуль червя для самостоятельного распространения по сети.

Новый модуль DirtyMoe сканирует сеть и после обнаружения открытых портов SMB автоматически запускает брутфорс-атаку на удалённые машины (генерацию ключей). На инфицированном компьютере DirtyMoe может майнить криптовалюту, для чего он был написан изначально, участвовать в DDoS-атаках (функция добавлена в 2018 году) и просто красть данные в системе (встроена функция перехвата набора на клавиатуре).

Защититься от DirtyMoe и других зловредов поможет использование антивирусных программ и своевременное обновление безопасности программных продуктов.

В результате спецоперации правоохранительных органов, на подготовку и планирование которой ушло около двух лет, удалось обезвредить опаснейший ботнет Emotet, активно используемый хакерами для реализации разного рода вредоносных кампаний. Добиться успеха в борьбе с вредоносной сетью удалось благодаря скоординированным действиям правоохранительных органов Нидерландов, Германии, Франции, Литвы, Украины, Великобритании, США и Канады.

Emotet был впервые обнаружен в виде банковского трояна в 2014 году, но позднее он разросся до масштабов одной из самых вредоносных сетей мира. Он распространяется путём установки бэкдора на компьютеры, работающие под управлением Windows. Для этого используются фишинговые письма с документами формата Word, которые скомпрометированы с помощью вредоносного программного обеспечения. Обычно злоумышленники рассылают фишинговые письма под видом счетов, уведомлений о доставке чего-либо или же информирования по вопросам, связанным с пандемией коронавируса.

Стоящие за Emotet киберпреступники сдавали ботнет в аренду другим группировкам для проведения вредоносных кампаний, в том числе с использованием программ-вымогателей и инструментов удалённого доступа. В результате ботнет стал тем, что в Европоле описывают как «самое опасное вредоносное ПО в мире» и «один из самых опасных ботнетов последнего десятилетия».

По мнению правоохранителей, ликвидация Emotet является одним из самых серьёзных ударов по вредоносному ПО и киберпреступности за последние годы. «Вероятно, это одна из самых значительных операций в плане воздействия, которое мы оказали за последнее время, и мы ожидаем, что оно окажет серьёзное влияние на ситуацию. Мы очень довольны», — сказал руководитель операций Европейского центра киберпреступности Европола Фернандо Руиз (Fernando Ruiz).

Источник отмечает, что активная фаза операции спецслужб длилась неделю. За это время правоохранители взяли под контроль инфраструктуру Emotet, состоящую из сотен серверов по всему миру. Компьютеры пользователей, которые заражены вредоносным ПО и входят в состав ботнета, теперь обращаются к инфраструктуре, контролируемую правоохранительными органами. Это означает, что злоумышленники больше не могут использовать заражённые компьютеры и распространение вредоносного ПО будет остановлено.

Специалисты компании Trend Micro, работающей в сфере информационной безопасности, предупреждают пользователей о значительном росте количества атак на домашние маршрутизаторы. Как правило, целью таких атак является формирование ботнет-сетей из скомпрометированных устройств.

Специалисты Trend Micro установили, что в октябре прошлого года начался рост количества попыток взлома пользовательских маршрутизаторов посредством подбора пароля администратора с использованием специального ПО, автоматически перебирающего наиболее распространённые комбинации паролей. Всего за несколько месяцев количество атак такого типа выросло более чем в десять раз. Если в сентябре 2019 года было зафиксировано около 23 млн таких атак, то уже в декабре этот показатель вырос до 249 млн случаев. В марте этого года компания зафиксировала около 194 млн входов в систему с помощью инструментов перебора паролей.

В Trend Micro считают, что такая тенденция обусловлена конкуренцией между разными группировками киберпреступников, которые стараются скомпрометировать как можно больше пользовательских маршрутизаторов, чтобы присоединить их к своим ботнет-сетям. В дальнейшем ботнеты продаются на специализированных ресурсах в виде инструмента осуществления DDoS-атак либо предлагаются в качестве инструмента анонимизации разного рода противозаконных действий, в том числе кражи данных, захвата учётных записей или накрутки кликов. Отмечается, что конкуренция в этом сегменте настолько серьёзна, что хакеры удаляют любое чужое вредоносное ПО, которое обнаруживается на взломанных устройствах.

Пользователи, чей роутер был скомпрометирован злоумышленниками, могут заметить это по значительному снижению уровня производительности устройства. Специалисты Trend Micro рекомендуют использовать надёжные пароли для защиты домашних маршрутизаторов, периодически изменяя их. Также следует своевременно обновлять прошивку устройства и ограничить к нему доступ, разрешив подключения только из локальной сети.

Корпорация Microsoft вместе с партнёрами из 35 стран приступила к реализации плана по нарушению работы одной из крупнейших ботнет-сетей в мире Necurs, состоящей из более чем 9 млн заражённых компьютеров. Специалисты компании около 8 лет следили за сетью и планировали действия, которые позволят гарантировать, что преступники больше не смогут использовать ключевые элементы инфраструктуры ботнета для проведения кибератак.

Напомним, ботнет представляет собой сеть заражённых вредоносным программным обеспечением компьютеров, которые находятся под удалённым контролем злоумышленников. Исследователи установили, что один компьютер, входящий в состав ботнета Necurs, за 58 дней осуществил отправку 3,8 млн спам-писем.

Предполагается, что за Necurs стоят российские хакеры, использующие сеть заражённых компьютеров для выполнения разных задач, в том числе мошенничества, кражи персональных данных, атак на другие компьютеры и др. По мнению Microsoft, часть инфраструктуры Necurs сдаётся в аренду другим киберпреступникам. Помимо прочего, сеть используется для распространения вредоносного и вымогательского ПО, DDoS-атак и др.

Для разрушения сети Necurs специалисты Microsoft проанализировали методику, которую ботнет использует для генерации новых доменов. В результате они спрогнозировали генерацию более 6 млн новых доменов в течение 25 месяцев. Эта информация была передана регистраторам в разных странах мира, чтобы осуществить блокировку данных веб-сайтов, не позволяя им стать частью ботнет-сети. Взяв под контроль существующие веб-сайты и ограничив возможность регистрации новых, Microsoft сумела нанести значительный ущерб сети, нарушив её работу.

Похоже, что неизвестное лицо перехватило управление над инфраструктурой ботнета Phorpiex (Trik). Дело в том, что некто начал удалять вредоносное ПО с заражённых ПК, оставляя после себя сообщение с рекомендацией установить антивирусную программу и обновить ПО компьютера.

Сначала предполагалось, что это своеобразная шутка, оставленная внутри вредоносной программы, чтобы посмеяться над ИБ-специалистами, которые занимаются анализом вируса. После проверки оказалось, что вредонос действительно удаляется с заражённых ПК.

Янив Балмас (Yaniv Balmas), глава отдела кибер-исследований в Check Point, работающей в сфере информационной безопасности, подтвердил, что вредоносное ПО начало удаляться с пользовательских компьютеров, отметив, что специалисты компании внимательно следят за семейством вредоносных программ Phorpiex. Он также выдвинул несколько предположений касательно случившегося. Операторы ботнета могли самостоятельно прекратить работу вредоносной сети. Это также могли сделать правоохранительные органы, ИБ-специалисты или операторы конкурирующих ботнетов, решившие саботировать работу Phorpiex.

Семейство вредоносных программ Phorpiex, используемое злоумышленниками более десяти лет, в прошлом неоднократно сталкивалось с проблемами, в том числе из-за небрежности разработчиков. К примеру, в 2018 году один из серверов управления ботнетом был оставлен в открытом доступе, благодаря чему ИБ-специалисты сумели извлечь более 43 млн адресов электронных почтовых ящиков, которые использовались операторами Phorpiex для рассылки фишинговых спам-сообщений. Рассматриваемая сеть активно используется злоумышленниками, а её работоспособность поддерживается благодаря регулярным кампаниям по массовой рассылке фишинговых писем, применяемых для заражения новых ПК.