Empresas de segurança derrubam rede botnet que ameaçava 190 países

Instituições de defesa e empresas de segurança privada do mundo todo se uniram para derrubar Simda, uma rede botnet que afetava aproximadamente 770 mil computadores em 190 países. As máquinas infectadas estavam vulneráveis para hackers roubarem as credenciais bancárias dos donos, além de estabelecer backdoors para instalação de outros malwares. A taxa de infecção da rede de bots era de 128 mil PCs por mês desde seu surgimento, seis meses atrás.

Assim como um procedimento quase padrão das grandes redes botnet que infectam PCs no mundo inteiro, o backdoor se modificava para uma forma nova e indetectável em poucas horas, mantendo-se incógnita para os programas anti-vírus. Os operadores por trás do malware utilizavam falhas conhecidas em programas como Oracle Java, Adobe Flash e Microsoft Silverlight.

As falhas eram exploradas por injeções de vulnerabilidade SQL e kits de ameaças como o Blackhole e o Styx. Outros métodos de expansão da botnet envolviam engenharias sociais virtuais e spam. Dos países afetados pelo Simda, os Estados Unidos estão em primeiro lugar, com 22% das infecções, seguidos pelo Reino Unido e Turquia, com 5% cada um; Rússia e Canadá tinham 4% dos PCs da rede de malware infectados.

O Simda modificava o arquivo HOSTS dos PCs com Windows, utilizado para associar nomes de domínios à endereços IP específicos. Como resultado, PCs infectados que tentavam visitar endereços como "connect.facebook.com" ou "google-analytics.com" eram inadvertidamente direcionados à servidores sob controle dos hackers. Os arquivos HOSTS infectados permaneciam mesmo após a remoção do backdoor.

Especialistas em segurança recomendavam aos que suspeitavam que suas máquinas estivessem infectadas a checarem seus arquivos HOSTS, localizados tipicamente no diretório "%SYSTEM32%driversetchosts" . Os interessados em descobrir se sua máquina está infectada pelo Simda podem também acessar uma checagem virtual pelo Kaspersky Lab. Entretanto, a eficiência deste último teste só é válida se o IP da máquina não foi modificado desde a infecção.

- Continua após a publicidade -

A derrubada envolveu a investigação de 14 servidores localizados na Holanda, Estados Unidos, Luxemburgo, Polônia e Rússia. A operação ocorreu simultaneamente pelo mundo todo na última quinta (09) e sexta-feira (10), organizada pelo Complexo de Inovação da Interpol em Cingapura. Participaram funcionários da Unidade Nacional de Crimes de Alta Tecnologia holandesa, o departamento de segurança Nouvelles Technologies da Polícia de Luxemburgo, o FBI e o ministério russo de cibercrimes, K. A Interpol também contou com a colaboração da Trend Micro, Kaspersky Lab, Microsoft e o Instituto de Ciber Defesa do Japão para assistência técnica.

Semana passada, diversas instituições de segurança governamentais e privadas se reuniram para enfrentar outra grande rede botnet, a BeeBone, que contava com funcionamento similar ao Simda.

{via}ArsTechnica|http://arstechnica.com/security/2015/04/botnet-that-enslaved-770000-pcs-worldwide-comes-crashing-down/{/via}

Tags
  • Redator: Gabriel Daros

    Gabriel Daros

    Redator da Adrenaline que teve contato com hardwares desde quando viu seu pai montar um tal "PC gamer" aos oito anos de idade. Escreve notícias sobre internet, tecnologia e jogos, cujo primeiro contato foi com um SNES aos sete anos. Estuda jornalismo na Universidade Federal de Santa Catarina (UFSC) desde 2013.

O que você achou deste conteúdo? Deixe seu comentário abaixo e interaja com nossa equipe. Caso queira sugerir alguma pauta, entre em contato através deste formulário.