ESET и Microsoft совместно с Интерполом ликвидировали ботнет Gamarue

ESET и Microsoft совместно с Интерполом ликвидировали ботнет Gamarue

ESET совместно с Microsoft и правоохранительными структурами, включая ФБР, Интерпол и Европол, обезвредила сеть ботнетов Gamarue (Andromeda), действовавшую с 2011 года.

Операция стартовала 29 ноября 2017 года. В рамках проекта ликвидации была обезврежена сеть из 464 отдельных ботнетов, заражавшая более 1,1 млн компьютеров ежемесячно. Нейтрализована инфраструктура ботнета – 1214 доменов и IP-адресов, которые использовались операторами в качестве серверов управления и контроля (С&С).

ESET взяла на себя технические аспекты подготовки операции. Совместно с Microsoft компания выполнила анализ угрозы, предоставила статистические данные и информацию об инфраструктуре Gamarue. Кроме того, ESET поделилась результатами многолетних наблюдений за ботнетом и вредоносными программами, которые распространялись с его помощью.

Семейство вредоносных программ Gamarue (Wauchos, согласно классификации ESET) создано в сентябре 2011 года и продавалось в дарквебе под названием Andromeda bot. Бот пользовался спросом, поэтому на момент ликвидации в мире действовали сотни независимых ботнетов. Операторы Gamarue использовали для его распространения разные способы: социальные сети, мессенджеры, съемные носители, спам-рассылки, наборы эксплойтов.

Семейство Gamarue предназначено для кражи учетных данных, загрузки и выполнения в зараженных системах других вредоносных программ. Но операторы могут дорабатывать бот, внедряя дополнительные модули. Так, один из модулей позволяет атакующим перехватывать данные, вводимые пользователями в веб-формы (формграббер), другой – подключаться к скомпрометированной системе и удаленно управлять ей.

В рамках подготовки к ликвидации Gamarue специалисты ESET собирали информацию о ботнетах с помощью телеметрического сервиса ESET Threat Intelligence. Им удалось создать бот, который устанавливал соединение с управляющими серверами атакующих. С его помощью специалисты ESET и Microsoft следили за Gamarue на протяжении полутора лет, идентифицировали серверы и другие вредоносные программы, загружаемые в системы жертв. По итогам этой работы ESET и Microsoft составили список всех доменов, используемых операторами Gamarue в качестве управляющих серверов.

«В прошлом Wauchos лидировал по числу атак, отраженных продуктами ESET, поэтому, когда Microsoft предложили принять участие в операции и защитить пользователей, наше решение было очевидным, – комментирует Жан-Йен Бутен, старший вирусный аналитик ESET. – Угроза существовала и совершенствовалась на протяжении нескольких лет, что затрудняло мониторинг. Тем не менее, благодаря ESET Threat Intelligence, нам удалось отслеживать изменения в поведении малвари и внести свой вклад в операцию по ликвидации ботнета».

Yandex Zen AMПодписывайтесь на канал "Anti-Malware" в Yandex Zen, чтобы узнавать о новостях и эксклюзивных материалах по информационной безопасности в своей персональной ленте.

InfoWatch EndPoint Security 13.1 улучшает алгоритмы шифрования

Группа компаний (ГК) InfoWatch, российский разработчик комплексных решений в сфере информационной безопасности (ИБ) предприятий, сообщает о выпуске InfoWatch EndPoint Security 13.1 — решения для мониторинга и контроля целостности рабочих станций и информационных ресурсов организаций с улучшенными алгоритмами шифрования. Продукт позволяет контролировать доступ сотрудников к различным устройствам и программам, автоматически шифрует данные для защиты от несанкционированного доступа, в том числе по ГОСТу, и обеспечивает аудит информационных систем организации.

Для удобного и быстрого мониторинга использования ИТ-инфраструктуры предприятий, продукт InfoWatch EndPoint Security с помощью инструмента «Insight» создает наглядные отчеты, которые позволяют оценить и спрогнозировать использование сотрудниками рабочих станций, оргтехники, различных накопителей информации, сетевых и интернет-ресурсов, программных приложений.

«Программный продукт InfoWatch EndPoint Security позволяет предприятиям выполнить ряд базовых шагов по построению систем защиты, — отметил руководитель направления InfoWatch Endpoint Security Сергей Поздняков. — Решение проводит аудит всех информационных систем в организации, позволяет определить узкие места в ИТ-инфраструктуре и выявить неправомерные действия сотрудников, установить правила для отслеживания легитимных действий и инцидентов информационной безопасности. При этом, настроенные службой ИБ политики безопасности применяются на устройствах, где установлен агент, даже если компьютер находится за пределами компании и не имеет подключения к сети».

Решение InfoWatch EndPoint Security предоставляет возможность разграничивать права доступа сотрудников к устройствам и сетевому окружению, например, флэш-накопителям, локальным дискам, принтерам, и к программам, создавая черные и белые списки, а также контролировать операции с конкретными типами файлов. Кроме того, программный продукт позволяет ограничивать скачивание данных через браузер, доступ к облачным хранилищам и передачу документов в мессенджер Skype.

Новая версия InfoWatch EndPoint Security 13.1 содержит улучшенные алгоритмы и способы шифрования данных.

«Съемные носители, ноутбуки, облачные хранилища — это, как правило, наиболее уязвимые звенья корпоративной ИТ-инфраструктуры, где сотрудники часто хранят большие объемы конфиденциальной информации, — сказал Сергей Поздняков. — Такие каналы часто привлекают внимание злоумышленников, подвержены постороннему доступу и потере контроля над ними с последующей компрометацией данных. Поэтому без должного уровня защиты возникают риски, которые могут вести к репутационным и финансовым потерям. InfoWatch EndPoint Security шифрует файлы в локальных каталогах ноутбуков и ПК, на внешних устройствах, в сетевых каталогах и в облачных хранилищах и тем самым обеспечивает целостность и конфиденциальность данных. Доступ к данным возможен только пользователям, установленным политиками безопасности. Шифрование данных не нарушает обычную работу устройства и может производиться как автоматически в фоновом режиме, так и самим пользователем или офицером безопасности с помощью контекстного меню».

Решение позволяет настраивать доступ к зашифрованным данным в зависимости от потребностей и бизнес-процессов организации, например, при индивидуальном шифровании  файл будет доступен только конкретному пользователю, а для предоставления доступа определенному кругу лиц доступна функция шифрования по группам.

Для выполнения криптографических операций в операционной системе продукт может использовать как базовый криптопровайдер Windows, так и сторонний криптопровайдер, который позволяет использовать стандарт шифрования ГОСТ 28147-89.

Решение может интегрироваться с DLP-системой InfoWatch Traffic Monitor и дополнять ее данными о действиях пользователей. InfoWatch EndPoint Security направляет в DLP-систему теневые копии файлов при их копировании на съемные носители. Кроме того, продукт позволяет отслеживать изменения, связанные с аппаратной частью рабочего места сотрудника, например, замену жестких дисков, модулей оперативной памяти или графических адаптеров.

Интеграция InfoWatch EndPoint Security в инфраструктуру организации предполагает развертывание программного агента на компьютерах сотрудников, а также установку сервера управления для работы ИБ-специалистов. Для установки агента InfoWatch EndPoint Security на устройстве требуется 1 ГБ свободного места на диске и 512 МБ оперативной памяти. Программный продукт быстро масштабируется на любое количество станций.

Дополнительно о ключевых особенностях продукта вы можете узнать здесь.

Yandex Zen AMПодписывайтесь на канал "Anti-Malware" в Yandex Zen, чтобы узнавать о новостях и эксклюзивных материалах по информационной безопасности в своей персональной ленте.

RSS: Новости на портале Anti-Malware.ru