Spamhaus: с уходом Emotet число C2-серверов ботнетов сократилось на 12%

Spamhaus: с уходом Emotet число C2-серверов ботнетов сократилось на 12%

Spamhaus: с уходом Emotet число C2-серверов ботнетов сократилось на 12%

В период с апреля по июнь активисты из НКО Spamhaus внесли в базу данных о ботнетах 1462 IP-адреса новых C2-серверов — на 12% меньше, чем в I квартале. Больше всего таких находок было зафиксировано в июне — 652, но все равно это ниже январского показателя (757).

Изменилось также распределение центров управления зловредами по регионам. Их количество в странах Латинской Америке заметно уменьшилось — в Бразилии на 40%, а Аргентина и Колумбия вовсе выпали из списка ТОП-20. В Западной Европе, напротив, появилось много новых C2; значительно возросли показатели Латвии, Франции, Германии, Великобритании, появились новые участники рейтинга — Чехия, Польша и Финляндия.

Первое место в ведущей двадцатке вновь заняли США, хотя их показатель снизился на 17%. На вторую ступень поднялась Россия, оттеснив Нидерланды; Украина, как и Латвия, сильно продвинулась по непочетной лестнице, удвоив свой результат.

 

Все эти изменения отчасти связаны с уходом со сцены крупнейшего ботнета-спамера Emotet: в январе совместными усилиями восьми стран его командная инфраструктура была уничтожена, и весной началась очистка зараженных компьютеров от инфекции. На момент ликвидации бот-сети в базе Spamhaus числилось 272 центра управления Emotet.

Данный зловред использовал множество скомпрометированных аккаунтов для рассылки вредоносного спама, и весь минувший квартал активисты вместе с ФБР занимались оповещением пострадавших и оказанием помощи в укреплении защиты почтовых ящиков. В итоге им удалось вернуть владельцам контроль над 60% из 1,3 млн взломанных почтовых аккаунтов. Также были очищены от инфекции 3 тыс. сетей и обезврежены 22 тыс. уникальных доменов, задействованных в атаках Emotet.

Список вредоносов с наибольшим количеством C2-серверов теперь возглавляет инфостилер Raccoon (302), за ним с большим отрывом следуют RAT-трояны RedLine и AsyncRAT. Пятерку лидеров замыкают LokiBot и банкер Gozi, он же Rovnix, Ursnif и Papras.

В рейтинге TLD-доменов по числу найденных C2 по-прежнему лидирует обширная зона .COM — за квартал ее показатель увеличился на 166%, до 4113 единиц. Второе место занимает доменная зона .XYZ (739, +114%). В ТОП-10 помимо родовых доменов вошли также два региональных — новичок .BR и .RU, увеличивший свой результат на 32% (208 и 151 вредоносный сервер соответственно).

Из регистраторов доменных имен больше прочих провинился американский NameSilo — через него было оформлено 1797 доменов, ассоциированных с C2 ботнетов. Рост злоупотреблений услугами NameSilo за квартал составил 594%, и в итоге он возглавил непочетный список, обогнав давнего лидера Namecheap. Половину ТОП-10 регистраторов по количеству абьюзов составили китайские компании; восьмую позицию в нем занял российский REG.RU, сокративший свой показатель на 43% (до 135).

Список сетей, в которых были обнаружены командные серверы ботоводов, возглавил молдавский хостинг-провайдер PQ Hosting (82), за ним следуют Google.com, голландский Serverion, французский OVH и украинский ITLDC. В ТОП-10 вошли также два российских хостера — MGNHost (47) и LLC Baxet (40), базирующийся в Зеленограде.

Один из клиентов Amazon, активно предлагавший услуги bulletproof-хостинга, переметнулся к DigitalOcean, поэтому количество злоупотреблений в сетях Amazon пошло на спад, и компания выбыла из ведущей двадцатки. На 17-е место поднялась microsoft.com, которую в минувшем квартале облюбовали операторы Vjw0rm и BitRAT.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Microsoft: Мы не можем защитить данные пользователей от запросов США

Microsoft заявила французским сенаторам, что не может гарантировать полную защиту пользовательских данных в ЕС от возможных запросов со стороны американских властей — если в США вдруг решат, что им что-то нужно.

Речь идёт о законе CLOUD Act, принятом ещё в 2018 году. Он позволяет американским властям требовать у компаний доступ к цифровым данным — даже если они физически хранятся за пределами США.

Так что, условно говоря, если данные находятся во Франции, но сервер принадлежит Microsoft, корпорация должна передать информацию.

Об этом говорили представители Microsoft France на слушаниях в Сенате 18 июня. Когда у юристов Microsoft прямо спросили: «А вы точно можете гарантировать, что данные французов не уйдут в США без согласия Франции?» — они честно ответили: «Нет, не можем».

Microsoft, правда, настаивает, что делает всё, чтобы защитить клиентов — особенно госсектор. По словам Антона Карньо, директора по правовым вопросам Microsoft France, компания тщательно проверяет каждый запрос от американских властей и может его отклонить, если он выглядит «необоснованным». Иногда Microsoft даже просит власти обратиться напрямую к клиенту.

Но всё же, если запрос оформлен корректно и по всем правилам, то компания обязана передать данные. И, несмотря на заявления о «прозрачности», это касается всех американских облачных провайдеров, а не только Microsoft. В той же лодке — AWS, Google и другие.

Представитель AWS, например, на днях напомнил: CLOUD Act касается всех компаний, которые работают в США, даже если они европейские. То есть и французская OVHcloud тоже может попасть под раздачу — у неё ведь есть американские офисы.

Почему это важно? Потому что в Европе всё громче звучат призывы к цифровому суверенитету — то есть к тому, чтобы данные европейцев хранились и обрабатывались только в Европе. И чтобы никто из-за океана не мог в них сунуть нос, даже под предлогом «нацбезопасности».

Microsoft, Google и AWS понимают, куда всё катится, и активно пытаются убедить клиентов, что у них всё под контролем: строят дата-центры в ЕС, обещают «локализацию», и даже запускают продукты, которые якобы соответствуют требованиям суверенитета. Но на деле — юрисдикция остаётся американской.

На фоне этих заявлений всё больше экспертов и политиков в ЕС говорят: пора заканчивать с «облачной» зависимостью от США. Да, свои инфраструктуры строятся медленно, но другого выхода, похоже, нет.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru