Рейтинг ботнетов по версии ESET

Рейтинг ботнетов по версии ESET

В состав «армии зомби» – ботнета – могут входить миллионы зараженных вредоносным ПО компьютеров, которыми дистанционно управляют киберпреступники. «Зомби-сеть» используется для DDoS-атак, рассылки спама, накрутки кликов, кражи персональных данных – без ведома жертвы. При этом зараженные машины атакуют «здоровых» в лучших традициях постапокалиптических фильмов.

 

1. Storm

В 2007 году червь Storm «зомбировал» до десяти миллионов компьютеров по всему миру. Это первая, но далеко не последняя в истории человечества атака подобного масштаба.

Операторы Storm впервые использовали тактику, которая до сих пор в ходу у киберпреступников. Вредоносное ПО распространялось в письмах с заголовками в стиле «ШОК! ВИДЕО!» и с применением методов социальной инженерии. Схемы заражения, равно как и вредоносный код, постоянно менялись.

Кроме того, создатели Storm первыми получили финансовую прибыль от ботнета – их армия продавалась по частям и использовалась в разных вредоносных кампаниях. «Боевые зомби» атаковали даже информационные сети антивирусных вендоров и веб-ресурсы о безопасности.

2. Conficker

Поведение «зомби-сетей» невозможно прогнозировать – ботнет скромных размеров может в любой момент превратиться в миллионную армию «зомби».

В 2008-2009 гг. ботнет Conficker объединил до 15 млн «зомби-машин». Совокупная вычислительная мощь сети превосходила возможности существующих суперкомпьютеров. Создатели ботнета могли использовать его для DDoS-атак на интернет-ресурсы, кражу данных и спам-рассылки.

В борьбе с Conficker участвовали ведущие антивирусные вендоры, включая ESET. Им удалось значительно сократить численность «армии зомби». Но вирус мутирует, и сегодня, шесть лет спустя, опасность заражения все еще существует.

3. Zeus

Как известно из кино, зомби-апокалипсис настанет быстрее, если вирус будет заражать не только людей, но и животных. Создатели ботнета Zeus руководствовались схожим принципом – пока компьютеры на базе Windows пополняли «армию зомби», мобильное вредоносное ПО осуществляло кражу данных онлайн-банкинга с устройств на Symbian, Windows Mobile, Android и Blackberry.

В 2012 году ботнет был повержен, но, по законам жанра, «восстал из мертвых», реконструированный на базе оригинального кода. Летом 2014 года с новым ботнетом Gameover Zeus справились специалисты ФБР и партнеры ведомства.

Но история продолжается – создатели ботнета работают над его возвращением, а тем временем по схеме Zeusраспространяется небезызвестный троян-вымогатель Cryptolocker.

4. Flashback

Ботнет Flashback шокировал людей, убежденных в том, что вирусов для Мас OS X не существует. Доказывая обратное, его создатели «обратили в зомби» более 600 тыс. машин по всему миру, используя уязвимость нулевого дня в плагине Java.

Получив в свое распоряжение значительную долю компьютеров Apple по всему миру, создатели армии «яблочных зомби» попытались зарабатывать деньги на кликах. Идея провалилась, так как «зомби» не проходили фейсконтроль систем обнаружения мошенничества.

Пока в мире остаются зараженные трояном Flashback компьютеры Мас, нельзя с уверенностью утверждать, что эпидемия в прошлом. Кто знает, что придумают создатели этой «армии зомби».

5. Windigo

На первый взгляд, ботнет Windigo не представляет особой опасности – он «всего лишь» крадет учетные записи пользователей и использует «зомби-машины» для рассылки спама. С другой стороны, его создатели собирали свою «армию» почти три года, не привлекая внимания специалистов по информационной безопасности.

Жертвы Windigo – порядка 25 тыс. веб-серверов под управлением Linux, а, значит, и веб-сайты, которые ежедневно посещают миллионы человек. «Зомби» Windigo атакуют всех – пользователи Windows перенаправляются на набор эксплойтов, Мас-юзерам демонстрируется реклама сайтов знакомств, а с iPhone осуществляется переход на «взрослый» контент.

«Армия зомби», названная в честь духа-людоеда в мифологии индейцев-алгонкинов, продолжает поиск новых жертв в полном соответствии с привычками вечно голодного вендиго.

Яндекс опроверг слухи о скрытой установке российского сертификата в Windows

В соцсетях снова включили панические настроения в стиле «нас всех прослушивают». Пользователи начали распространять сообщения о том, что Яндекс Браузер якобы скрытно устанавливает в системное хранилище Windows государственный корневой сертификат Russian Trusted Root CA, и это позволяет перехватывать данные.

В Яндексе это опровергли. Как сообщили в пресс-службе компании в комментарии для телеграм-канала «Лапша Медиа», Яндекс Браузер не изменяет системное хранилище сертификатов при установке или обновлении.

Поддержка сайтов с национальными сертификатами реализована внутри самого браузера и не влияет на список доверенных сертификатов операционной системы.

Иными словами, браузер действительно умеет работать с российскими сертификатами, но не прописывает их тайком в Windows.

 

Отдельно в «Лапша Медиа» отметили, что скрытый перехват данных таким образом невозможен. Современные TLS-соединения защищены стандартными механизмами проверки, а сертификаты проходят контроль через систему Certificate Transparency — публичные журналы, где фиксируется выпуск сертификатов. Если сертификат отсутствует в логах или не соответствует требованиям, соединение должно быть заблокировано.

Сами сертификаты Russian Trusted Root CA используются для защищённого доступа к российским сайтам, которые работают с национальными сертификатами. В Яндекс Браузере их поддержка уже встроена, чтобы такие ресурсы открывались без дополнительных действий со стороны пользователя.

Так что история про скрытую установку, тотальный перехват и MITM из коробки выглядит скорее как очередной панический вброс.

RSS: Новости на портале Anti-Malware.ru