Поиск
Показаны результаты для тегов 'ботнет'.
Найдено: 5 результатов
-
Исследователи безопасности из компании Vertek Corporation обнаружили в Сети более 43 млн адресов электронной почты, содержавшихся на C&C-сервере ботнета Trik Spam. Об этом сообщило издание Bleeping Computer. Неисправный сервер был обнаружен в ходе анализа вредоносной кампании по распространению трояна Trik, заражавшего пользователей вымогательским ПО GandCrab 3. Как выяснили исследователи, Trik и GandCrab загружают вредоносные файлы с сервера с российским IP-адресом. Однако операторы вредоносов некорректно сконфигурировали свой сервер и сделали его содержимое доступным для всех, кто напрямую обращается к IP-адресу. На сервере был найден 2201 текстовый файл. Документы были названы последовательно от 1.txt до 2201.txt и содержали по 20 тыс. адресов электронной почты каждый. Как полагают исследователи, операторы сервера использовали данные списки для распространения вредоносов других злоумышленников. В настоящее время исследователи работают с владельцем сервиса Have I Been Pwned Троем Хантом с целью выяснить число уникальных электронных адресов.
-
Ботнет из 4,4 тыс. зараженных серверов Redis и OrientDB, использующийся злоумышленниками для майнинга криптовалюты Monero, с марта прошлого года принес своим операторам $925 тыс. Вредоносное ПО, названное DDG по одному из модулей, взламывает серверы Redis с помощью брутфорс-атак, а OrientDB – через уязвимость CVE-2017-11467, позволяющую удаленное выполнения кода. В связи с этим администраторам Redis рекомендуется установить надежные пароли, а администраторам OrientDB – обновить свои машины. Злоумышленники выбрали для атак серверы с базами данных, поскольку они, как правило, оснащены мощными процессорами и большими объемами памяти. Это делает их идеальными машинами для майнинга, поясняют исследователи Qihoo 360 Netlab. По данным Qihoo 360 Netlab, 73% серверов, зараженных DDG, находятся в Китае. На втором месте по числу инфицированных серверов оказались США (11%). Большую часть ботнета составляют серверы Redis – 88%, тогда как на долю OrientDB приходится только 11%. За последние три месяца ботсеть усилила активность, очевидно, в связи с ростом курса Monero. Как показал анализ DDG, злоумышленники используют три кошелька Monero. Исследователям удалось подтвердить, что хакерам уже удалось заработать 3395 Monero (порядка $925 тыс.). Вдобавок, еще один кошелек содержит дополнительные 2428 Monero ($660 тыс.).
-
Исследователи безопасности из Akamai, Flashpoint, Cloudflare, Oracle Dyn, RiskIQ и Team Cymru общими усилиями ликвидировали массивный ботнет из Android-устройств WireX. «Зомби-сеть» использовалась для осуществления DDoS-атак на представителей разных отраслей, в том числе гостиничного и игрового бизнеса, порноиндустрии, а также на регистраторов доменных имен. Компания Google узнала об угрозе несколько дней назад и провела проверку Play Store на наличие вредоносного ПО. В результате из магазина были удалены 300 приложений, использовавшихся киберпреступниками для заражения Android-устройств и объединения их в ботнет. В настоящее время Google удаляет вредоносное ПО с инфицированных гаджетов по всему миру. Точное количество пострадавших устройств не раскрывается. WireX появился 2 августа 2017 года и оставался незамеченным до 15 августа, пока исследователи не обнаружили, что ботнет использовался в продолжительных DDoS-атаках. В некоторых случаях в атаках участвовали до 70 тыс. IP-адресов в более чем ста странах. По словам экспертов, использование для DDoS-атак такого большого количества зараженных мобильных устройств из стольких стран весьма необычно. Как сообщается в блоге исследователей, WireX применялся в волюметрических DDoS-атаках на уровне приложений. Генерируемый «зомби-устройствами» трафик в основном представлял собой HTTP GET-запросы от действительных клиентов и браузеров. В некоторых случаях трафик также включал в себя HTTP POST-запросы.
-
- ликвидирован
- масштабный
-
(и ещё 2 )
C тегом:
-
Киберпреступники, предположительно из Китая, контролируют ботнет из 15 тыс. скомпрометированных серверов под управлением Windows Server, использующийся для генерирования криптовалюты, в основном Monero. Помимо майнинга, взломанные системы также используются для осуществления атак на другие хосты. Первыми ботнет обнаружили исследователи компании GuardiCore. Основываясь на оставленных в исходном коде вредоносного ПО подсказках, эксперты определили, что ботнетом управляет группировка под название Bond007.01. Ботнет, получивший название Bondnet, появился в декабре 2016 года и стремительно набрал мощность. Как уже упоминалось, в настоящее время он включает в себя 15 тыс. скомпрометированных систем с более 2 тыс. ежедневно активных ботов. По словам исследователей, хакеры Bond007.01 построили свою сеть с помощью самых разных техник. В частности злоумышленники применяют различные эксплоиты и осуществляют брутфорс-атаки на компьютеры со слабыми паролями для RDP. Касательно эксплоитов, хакеры используют уязвимости в phpMyAdmin, JBoss, Oracle Web Application Testing Suite, ElasticSearch, MSSQL, Apache Tomcat, Oracle Weblogic и пр. Проэксплуатировав уязвимость, с помощью скриптов DLL и Visual Basic хакеры загружают и устанавливают на систему жертвы троян для удаленного доступа (RAT) и майнер криптовалюты. Помимо Monero, ботнет генерирует ByteCoin, RieCoin или ZCash. Все входящие в него компьютеры работают под управлением Windows Server, и 55% из них – под управлением Windows Server 2008 R2.
-
Печально известный ботнет Necurs, используемый злоумышленниками для рассылки фишинговых писем с вредоносным ПО Locky, получил новые функции. Как сообщает исследователь компании Anubis Labs Тьяго Перейра, теперь с помощью Necurs киберпреступники могут осуществлять DDoS-атаки. По данным Перейры, вредоносное ПО Necurs получило ответственный за DDoS-атаки модуль и новую функцию подключения к C&C-серверу через прокси. Хотя модуль был добавлен еще несколько месяцев назад, в настоящее время злоумышленники не используют его. В сентябре прошлого года эксперты Anubis Labs обратили внимание на то, что помимо обычного подключения через порт 80, зараженные Necurs системы подключались к ряду IP-адресов через другой порт и по другому протоколу. В результате реверс-инжиниринга вредоносного кода был обнаружен простой модуль прокси SOCKS/HTTP для подключения Necurs к C&C-серверу. Операторы ботнета используют ботов для передачи данных по протоколам HTTP, SOCKSv4 и SOCKSv5 в качестве прямых и backconnect прокси. От C&C-сервера боты получают три команды – запустить Proxybackconnect, включить спящий режим или начать DDoS-атаку.Команда начать DDoS-атаку предусматривает два режима – HTTP-флуд и UDP-флуд. Если первой строкой полученного ботом сообщения будет «http:/», вредонос начнет DDoS-атаку с использованием HTTP-флуда. В противном случае будет инициирована атака с использованием UDP-флуда.