Подразделение «Ростелекома» предотвратило вовлечение более 45 тысяч устройств в ботнет Meris

[душман]

Компания «Ростелеком-солар», специализирующаяся на вопросах кибербезопасности, обнаружила и предотвратила попытку злоумышленников вовлечь более 45 тысяч устройств в ботнет Meris.Эксперты считают, что именно он использовался для рекордной DDoS-атаки на «Яндекс». Предполагается, что в данный момент Meris насчитывает порядка 200 тысяч устройств. Таким образом, «Ростелеком-солар» предотвратила увеличение ботнета на 20 %.

Специалисты компании получили и проанализировали команды, использующиеся для управления заражёнными устройствами. Они определили, что заражённые маршрутизаторы MikroTik обращались к незарегистрированному домену и запрашивали новые инструкции по адресу cosmosentry.com. Инженеры «Ростелеком-солар» зарегистрировали этот домен и разместили на нём сообщение, информирующее пользователей о том, кто владеет доменом и почему маршрутизатор установил это соединение.

Специалисты «Ростелеком-солар» также смогли идентифицировать географическое местоположение устройств, подверженных атаке. По данным компании, более 20 % из них находятся в Бразилии. В топ-5 стран по количеству заражённых роутеров вошли Украина, Индонезия, Польша и Индия. На Россию пришлось менее 4 %.

«Ростелеком-солар» считает, что ботнет Meris был создан с помощью вируса Glupteba, нацеленного на компьютеры, работающие под управлением Windows. Обычно он используется в качестве загрузчика для других вредоносных программ. В настоящее время неизвестно, замешаны ли создатели Glupteba в создании ботнета Meris.