Kaspersky Lab объединяет усилия с Интерполом и коллегами по ИT-безопасности для вывода из строя ботнета Simda

15.04.15

В рамках операции, координируемой Глобальным комплексом инноваций Интерпола в Сингапуре, группа ведущих ИT-компаний, включая Kaspersky Lab, Microsoft и Trend Micro, в сотрудничестве с международными правоохранительными органами осуществили вывод из строя ботнета Simda – компьютерной сети, состоящей из сотен тысяч зараженных компьютеров по всему миру.

В результате согласованных действий участников операции 9 апреля были взяты под контроль 10 командных серверов в Голландии, а также ряд серверов в России, США, Люксембурге и Польше. Операция проводилась при участии Национального центра по борьбе с преступлениями в сфере высоких технологий Нидерландов, Федерального бюро расследований США, полиции Люксембурга, а также Управления «К» МВД России и Национального центрального бюро Интерпола в Москве. Ожидается, что операция нанесет серьезный удар по функционированию ботнета, повлечет увеличение затрат и рисков для киберпреступников и предотвратит дальнейшее заражение компьютеров пользователей.

Simda является зловредом, используемым для распространения незаконного ПО и различных видов вредоносных программ, включая те, что обладают возможностью воровать финансовые данные. Злоумышленники продают доступ к зараженным машинам другим киберпреступникам, которые затем устанавливают на них дополнительные программы. Simda распространяется через множество веб-сайтов, скомпрометированных злоумышленниками. Когда пользователь заходит на эти страницы, вредоносный код незаметно инициирует скачивание содержимого сайта с эксплойтами и заражает компьютер, если на нем не применяются обновления. В общей сложности заражению подверглись 770 тыс. компьютеров в 190 странах мира, преимущественно в США, Великобритании, России, Канаде и Турции.

Активный в течение многих лет зловред Simda постоянно совершенствовался, чтобы иметь возможность использовать почти любую уязвимость, новые и более сложные для детектирования версии создавались и распространялись каждые несколько часов. На сегодняшний день в антивирусных базах Kaspersky Lab содержится более 260 тыс. исполняемых файлов, относящихся к разным версиям Simda.

В настоящий момент в рамках расследования продолжается сбор информации и сведений для идентификации стоящих за ботнетом Simda злоумышленников, которые в дополнение к совершению киберпреступлений также организовали целый бизнес по сбору денег за предоставление доступа к зараженным компьютерам.

«Успех этой операции подчеркивает значимость и необходимость сотрудничества государственных и международных правоохранительных органов с коммерческими компаниями для противодействия глобальной киберпреступности, – сказал Санджай Вирмани, директор центра Интерпола по борьбе с киберпреступностью. – Эта операция нанесла сокрушительный удар по ботнету Simda. Интерпол продолжит оказывать содействие странам-участникам в защите граждан от киберпреступлений и выявлении новых угроз».

«Ботнеты являются географически распределенными сетями, и обычно их обезвреживание – очень сложная задача. Именно поэтому совместное усилие коммерческих компаний и государственных служб является важнейшим условием успеха – каждая сторона вносит свой вклад в общее дело. В данном случае задача Kaspersky Lab была в предоставлении технического анализа вредоносной программы, сборе статистической информации с помощью Kaspersky Security Network и рекомендациях по стратегии обезвреживания серверов», – добавил Виталий Камлюк, ведущий антивирусный эксперт Kaspersky Lab, командированный в настоящий момент в Интерпол.

В результате операции командные серверы, с помощью которых киберпреступники управляли зараженными машинами, были обезврежены. Однако важно отметить, что вредоносные программы по-прежнему присутствуют на компьютерах жертв. С целью помочь пользователям Kaspersky Lab запустила специальный сайт CheckIP. Его посетители могут проверить, был ли их сетевой адрес замечен на серверах Simda. Список этих адресов был получен в результате обезвреживания серверной инфраструктуры ботнета.

Если IP-адрес пользователя был найден в этом перечне, это необязательно означает, что система заражена – в некоторых случаях один адрес может быть использован несколькими компьютерами в одной сети (к примеру, они могут пользоваться одним и тем же интернет-провайдером). Однако проверить систему на наличие вредоносных программ – например, с помощью бесплатной утилиты Kaspersky Security Scan или пробной версии Kaspersky Internet Security для всех устройств – не будет лишним.

С подробностями о выводе ботнета из строя можно ознакомиться по ссылке https://securelist.com/blog/69580/simdas-hide-and-seek-grown-up-games.