Cibercriminosos não controlam a terceira maior rede de spam, dizem pesquisadores

Os cibercriminosos não controlam mais uma das maiores botnets de spam do mundo, Grum, porque todos os servidores dos quais a botnet dependia para receber comandos foram encerrados, de acordo Os últimos servidores de comando e controle da Grum, seis localizados na Ucrânia e um na Rússia, estavam offline na quarta-feira, disse o cientista da equipe FireEye, Atif Mushtaq, em um post no blog. Isso deixa todos os computadores infectados por Grum órfãos, disse ele.

A FireEye colaborou no esforço de remoção com o Spamhaus Project, uma organização sem fins lucrativos dedicada a rastrear remetentes de spam, a Equipe de Segurança de Incidentes de Segurança de Computadores da empresa de segurança russa Group-IB. CERT-GIB) e um pesquisador independente

[Leia mais: Como remover malware do seu PC Windows]

Grum foi o terceiro maior botnet de spam em termos do número de endereços IP (Internet Protocol) exclusivos associados o pesquisador do Spamhaus Vincent Hanna disse na quinta-feira via e-mail

Antes da remoção, a organização costumava ver mensagens de spam Grum originadas de 100.000 a 120.000 IPs todos os dias e aproximadamente 500.000 a cada semana. As mensagens promoviam principalmente medicamentos falsos.

"Agora vemos apenas algumas sobras", disse Hanna. “Essas máquinas seriam infectadas e terminariam suas últimas cargas úteis.”

Segundo a FireEye, Grum era responsável por cerca de 18% do volume global de spam, o que significa que enviava aproximadamente 18 bilhões de mensagens de spam todos os dias. No entanto, o efeito da queda de Grum no volume global de spam continua a ser visto, pois há outras botnets que são muito eficientes em enviar spam e podem preencher o vazio, disse Hanna.

A FireEye lançou o esforço de remoção de Grum em julho 9. Na época, Grum contava com quatro servidores de comando e controle: um localizado no Panamá, um na Rússia e dois na Holanda.

Primeiro, os servidores localizados na Holanda foram desligados pela empresa que os hospedava, incapacitante. A capacidade das operadoras Grum de enviar novos comandos de spam para a botnet.

Na terça-feira, o servidor Grum no Panamá foi desconectado por seu ISP, levando os cibercriminosos a perder o controle sobre um segmento da botnet, disse Mushtaq. Operadores Grum respondeu por instalando seis servidores adicionais na Ucrânia e usando o servidor russo remanescente para apontar os computadores infectados para eles.

"A Ucrânia tem sido um refúgio seguro para os criadores de bots no passado e o desligamento de servidores nunca foi fácil". Mushtaq disse.

"A maioria dos botnets de spam que costumavam manter seus CnCs [servidores de comando e controle] nos EUA e na Europa mudaram-se para países como Panamá, Rússia e Ucrânia, pensando que ninguém pode tocá-los nesses confortos. zonas ", disse Mushtaq. "Nós provamos que eles estão errados dessa vez."

O servidor na Rússia parece ter sido o principal deles e desativá-lo provou ser o mais difícil. A empresa que o hospedou não estava respondendo, então seu ISP eventualmente interveio e parou o tráfego de roteamento para o endereço IP do servidor.

Os pesquisadores da FireEye esperam que a remoção seja permanente, porque ao contrário de outras botnets, Grum não tem nenhum mecanismo de fallback aparente seus operadores podem usar para recuperar o controle.

"No entanto, as pessoas que podem construir um botnet tão forte podem certamente criar um novo", disse Hanna.