Microsoft обезвредила командную инфраструктуру трояна Zloader

Microsoft обезвредила командную инфраструктуру трояна Zloader

Получив разрешение суда, специалисты Microsoft захватили контроль над 65 доменами, которые использовались для управления ботнетом Zloader. Выявить их удалось совместными усилиями рабочей группы, в которую также вошли эксперты ESET, Black Lotus Labs (в составе Lumen), Avast и подразделения Unit 42 ИБ-компании Palo Alto Networks.

Теперь при поиске C2 по вшитому в код адресу запросы резидентных ботов перенаправляются на подставной сервер Microsoft (sinkhole). Судебный ордер также позволяет обезвредить еще 319 доменов, зарегистрированных ботоводами. Эти имена сгенерированы по DGA (вредонос использует такой механизм в качестве резервного), и рабочая группа уже принимает меры по блокировке аналогичных регистраций в будущем.

В заявлении ESET по этому поводу говорится о трех ботнетах Zloader: эксперты различают их по используемой версии зловреда. Заражения зафиксированы по всему миру, с наибольшей концентрацией в Северной Америке, Японии и Западной Европе.

 

В ходе расследования удалось также идентифицировать создателя компонента вредоносной программы, используемого для загрузки на ботнет шифровальщиков; умельцем оказался Денис Маликов из Симферополя.

По словам Microsoft, целью предпринятых усилий являлась деактивация C2-инфраструктуры Zloader. Противник, конечно, постарается восстановить связь с потерянными ботами, но правоохранительные органы уже поставлены в известность и будут начеку, а ИБ-эксперты продолжат следить за развитием событий на этом фронте.

Модульный троян Zloader впервые появился на интернет-арене в 2007 году и вначале использовался только для кражи финансовой информации у владельцев Windows-машин. Со временем он научился также воровать и другие данные (из браузеров, Microsoft Outlook), регистрировать клавиатурный ввод, делать скриншоты, уклоняться от детектирования и загружать других зловредов, в том числе шифровальщиков.

Владельцы Zloader стали сдавать свой ботнет в аренду, взимая плату за доступ к зараженным компьютерам по модели MaaS (Malware-as-a-Service, вредонос как услуга). По данным Microsoft, этим удобством в свое пользовались криминальные группы, стоявшие за Ryuk, DarkSide и BlackMatter. Распространяется MaaS-зловред различными способами, но чаще всего через спам или вредоносную рекламу в поисковой выдаче.

С прошлого года популярность Zloader как загрузчика пошла на спад, и сейчас его используют, по словам ESET, только две кибергруппы. Однако расслабляться пока рано: эксперты обнаружили в дикой природе новую версию трояна — 2.0 (образцы тестовые, скомпилированы в июле прошлого года).

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

152-ФЗ: Госдума приняла новый вариант закона “О персональных данных”

“Засекречивание” ЕГРН, сутки на уведомление об утечке, сбор биометрии в ЕБС. К третьему чтению “доехало” меньше половины из 80 поправок, предложенных бизнесом к первой редакции.

Госдума уже сегодня уходит на каникулы, поэтому последние дни там были “жаркими”. Во вторник депутаты приняли во втором чтении законопроект “О персональных данных”. Накануне, 6 июля — в третьем и окончательном. 152-ФЗ “уехал” в Совет Федерации.

Законопроект вызвал озабоченность бизнеса еще в мае, когда его “читали” в Госдуме в первый раз. Один из инициаторов изменений — единоросс Александр Хинштейн — вчера сообщил о 80 поступивших поправках первого варианта.

Принять во внимание решили только 30. Итак, в финальной редакции:

  1. Получить данные из Единого госреестра недвижимости (ЕГРН) можно только с письменного разрешения владельца. Поправку оставили без изменений, несмотря на протесты предпринимателей.
  2. Мораторий на трансграничную передачу персданных. К третьему чтению добавилось еще одно основание запрета: для “защиты суверенитета, безопасности, территориальной целостности РФ и других ее интересов на международной арене”. Правительство может определять категории операторов, на которых запрет не действует. Закон также не будет иметь обратной силы.
  3. Обязанность операторов персданных (де-факто всех юрлиц) сообщать в Роскомнадзор о передаче ПДн россиян в другие страны. В первой версии требовалось докладывать о каждой транзакции, что усложняло покупку товаров в иностранных магазинах. Поправка могла сильно ударить по маркетплейсам. В последней редакции есть возможность единовременно подать уведомления заранее по всем перспективным направлениям до вступления закона в силу, объясняет собеседник “Ъ” на рынке онлайн-ретейла. РКН будет рассматривать уведомления не 30 дней, а десять.
  4. Оператор персональных данных обязан сообщить об утечке в первые сутки, как только обнаружил потерю. Далее у него будет еще два дня, чтобы найти виноватого и залатать “дыры”. В первом варианте на всё давались только сутки.
  5. Информацию об утечках нужно передавать и в Государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА). Из актуальной версии исключили требование о непрерывном взаимодействии с ГосСОПКА. Бизнес опасался, что это обойдется ему слишком дорого.
  6. Операторам персданных больше не нужно согласие субъекта для передачи его биометрии в единую биометрическую систему (ЕБС). Достаточно просто уведомить гражданина.
  7. Запрещается принудительный сбор и обработку биометрических данных. Бизнес не сможет отказывать в обслуживании, если клиент не хочет сдавать отпечатки, фотографии и образцы голоса.
  8. Можно собирать биометрические данные у несовершеннолетних с 14 до 18 лет. Депутаты согласились с мнением ЦБ и банков. Регулирование продолжится по законопроекту о единой биометрической системе (ГИС).

Теперь закон должен принять Совет Федерации. После этого он “поедет” на подпись к президенту. Вступить в силу новый 152-ФЗ может в марте следующего года.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru