ИТ-компании сокрушили C2-инфраструктуру ботнета TrickBot

ИТ-компании сокрушили C2-инфраструктуру ботнета TrickBot

Руководствуясь разрешением суда, участники альянса заблокировали доступ к IP-адресам, которые злоумышленники используют для управления ботнетом TrickBot. Ходатайство было подано в штате Виргиния по итогам расследования, которое корпорация Microsoft провела совместно с ESET, Symantec Enterprise Security (ныне в составе Broadcom), ИБ-подразделением Black Lotus Labs компании Lumen Technologies, а также экспертами телеком-провайдера NTT и американского Центра анализа и обмена информацией между финансовыми службами (FS-ISAC, Financial Services Information Sharing and Analysis Center).

В ходе расследования специалисты собрали и изучили десятки тысяч образцов трояна, установили способ связи зараженных машин с центрами управления и определили IP-адреса последних. Собранные свидетельства вредоносной деятельности позволили Microsoft обратиться в суд с прошением, которое и было удовлетворено.

Примечательно, что в качестве причины ходатайства проситель назвал ущерб, причиняемый его репутации и торговым маркам. В этом документе Microsoft высказала опасение, что, обнаружив возникшую в результате заражения проблему, пользователь может возложить вину на продукты компании — в частности, Windows.

«Исследовав доказательства, суд разрешил Microsoft и ее партнерам отключить IP-адреса, заблокировать доступ к содержимому командных серверов и все сервисы, используемые операторами ботнета, а также пресечь попытки операторов TrickBot купить или арендовать дополнительные серверы», — сказано в блог-записи Microsoft.

Блокировка центров управления ботнетом осуществлялась с помощью телеком-провайдеров в разных странах. Участники инициативы надеются, что этот шаг позволит остановить распространение инфекции и активацию вредоносных программ, уже загруженных на зараженные машины. В настоящее время принимаются меры для оповещения жертв TrickBot через интернет-провайдеров и региональные Группы быстрого реагирования на киберинциденты (CERT, Computer Emergency Response Team).

В настоящее время в состав ботнета TrickBot, по оценкам экспертов, входят более 1 млн зараженных компьютеров. Вредоносная сеть активно растет и опасна также тем, что сдается в аренду другим злоумышленникам по модели «зловред как услуга» (Malware-as-a-Service, MaaS). В итоге арендатор получает возможность загрузить на зараженные машины другие вредоносные программы — шпионы, шифровальщики и т. п.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Нейробраузер Яндекса ежедневно пресекает 1,5 млн визитов к фишерам

С начала тестирования обновленный Яндекс Браузер выявил более 400 тыс. мошеннических сайтов. Встроенная нейросеть позволяет ежедневно фиксировать 1,5 млн попыток перехода на фишинговые ресурсы, в 90% случаев юзер при этом использует телефон.

Проверка сайтов теперь осуществляется в реальном времени. При подозрении на фишинг Браузер запускает глубокий анализ с привлечением серверов «Яндекса». Ресурс проверяется по сотням параметров: когда создан, на кого зарегистрирован, как часто посещается и каким способом (по ссылкам или напрямую), появляется ли в поисковой выдаче и т. п.

Данные пользователей и текстовое содержимое страниц при этом на серверы не передаются. Комплексная проверка длится менее 0,01 секунды; если сайт опасен, пользователю выводится предупреждение.

Ранее такая защита работала иначе. Фишинговые сайты отыскивал в Сети поисковый робот «Яндекса», заходя на сомнительные страницы по несколько раз в сутки. Оценка производилась с помощью ML-моделей на сервере; опасные ресурсы заносились в базу, и Браузер с ней сверялся каждый раз, когда пользователь заходил на новый ресурс.

Весь процесс занимал много времени, от нескольких часов до суток. Столько в среднем и живут фишинговые сайты, и солидное количество по этой причине не попадало в базу «Яндекса».

Теперь клиентская нейросеть помогает выявлять не только ловушки-однодневки, но также новые приманки фишеров — такие как фейки приложений подсанкционных банков и платформ для работы с криптобиржами.

Каждый месяц через Яндекс Браузер в Сеть выходят свыше 85 млн человек. Запуск версии со встроенными нейросетями состоялся в прошлом месяце. Новые функции доступны на десктопах Windows, macOS, Linux, а также на мобильных устройствах.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru