Slo-Tech - Znani ukrajinski internetni kolovodja Vjačeslav Igorjevič Penčukov se je ta teden na ameriškem sodišču izrekel za krivega v obtožbah delovanja v dveh internetnih kriminalnih združbah. Penčukov je vodil dve kampanji zlonamerne programske opreme, in sicer Zeus in IcedID. Sedaj mu grozi do 40 let zaporne kazni.

Penčukov je v skupini Zeus začel delovati že leta 2009. Vzpostavljeni botnet je skupini omogočal napade, v katerih so kradli prijavne podatke za spletne banke in druge podatke za izvedbo spletnih finančnih prevar. Z nepooblaščenimi prenosi sredstev so žrtve oškodovali za več milijonov dolarjev. Pri tem so uporabljali mule, ki so prejemale denar na svoje račune, od koder so ga potem dvigovale. Zeus je padel leta 2014, ko je FBI uspel prevzeti nadzor nad krmilnimi strežniki. Ti so tedaj obvladovali več kot milijon okuženih naprav, s katerimi so povzročili več kot sto milijonov dolarjev škode.

Drugi botnet, ki ga je pomagal obvladovati Penčukov, je bil IceID. Opazili so ga leta...

Slo-Tech - Ena izmed ključnih lastnost verige blokov (blockchain), ki jo uporabljajo kriptovalute, je nespremenljivost preteklih blokov - kar zapišemo vanje, tam ostane za zmeraj, obstaja pa v več decentraliziranih kopijah pri uporabnikih po celem svetu, zato jih ni možno poloviti. Zamisel, da bi tja kaj zapisali, ni nova. So pa to prvikrat izkoristili hekerji, ki obvladujejo botnet. Raziskovalci iz podjetja Akamai poročajo o botnetu, ki IP-naslove rezervnih nadzornih strežnikov pridobi iz transakcij z bitcoinom.

Botneti, kamor imenujemo velika omrežja okuženih računalnikov, ki jih obvladujejo hekerji, so uporabni le, dokler so v stiku z nadzornimi strežniki. Pri razbijanju botnetov je zato eden izmed ključnih korakov onesposobitev oziroma blokada nadzornih strežnikov (sinkholing), s čimer okuženih računalniki izgubijo lutkarja. Napadalci sicer lahko postavijo nove strežnike, a če okuženi računalniki ne poznajo njihovih naslovov (dokler jih seveda na dezinficiramo), so neuporabni zombiji.

...

Slo-Tech - Ena večjih nevarnosti preteklih let je bil trojanec Emotet, ki je obstal vse od leta 2014. Kos škodljive programske opreme, ki je sprva služil zgolj za krajo bančnih podatkov, se je razvil v dovršen botnet, ki so ga lahko drugi zlikovci najemali za različne namene. Europol in Eurojust sta ta teden koordinirala policijske racije na Nizozemskem, v Nemčiji, ZDA, Veliki Britaniji, Franciji, Litvi, Kanadi in Ukrajini, v katerih so zasegli več strežnikov, gotovine in zlatih palic ter pridržali več ljudi.

Emotet se je širil z elektronsko pošto, običajno kot okužena priponka doc. Ob odprtju in aktivaciji se je zagnal makro, ki je okužil sistem. Lotem Finkelstein iz Check Point Software je povedal, je bil Emotet z naskokom najuspešnejši malware leta 2020. Nenehno se je tudi prilagajal, tako da je poslal elektronska sporočila z več kot 150.000 različnimi zadevami in 100.000 različnimi imeni priponke. Sproti se je namreč prilagajal tarčam, da je povečal verjetnost, da bodo odprle dokument....

Slo-Tech - Nemška policija je v nekdanjem NATO-vem bunkerju v kraju Traben-Trarbach, ki je bil od leta 2013 v lasti nekega 59-letnega Nizozemca, zasegla strežnike, na katerih so gostovale spletne tržnice za prodajo mamil, ponarejenega denarja, ponarejenih dokumentov in otroške pornografije. Pridržali so sedem ljudi, ki so jih aretirali v mestnem središču in okoliških krajih, trinajst pa jih še preiskujejo. Med njimi je 12 moških in ena ženska, stari pa so od 20 do 59 let. Poleg nemške racije so hišne preiskave izvedli tudi na Poljskem, v Luksemburgu in na Nizozemskem.

V eni največjih racij je sodelovalo 650 policistov, specialnih enot in drugih pripadnikov posebnih služb. To je bil prvi primer, ko je nemška policija zaradi računalniškega kriminala izvedla racijo v vojaškem bunkerju. Vodja je pred šestimi leti kupil opuščeni bunker in v njem uredil pravi internetni center za vodenje nelegalnih aktivnosti. Gre za starega znanca policije, ki ima obsežen kriminalni dosje tudi na Nizozemskem...

Slo-Tech - Priljubljeni program za čiščenje nepotrebne nesnage na disku CCleaner je skoraj mesec dni uporabnikom mimogrede namestil tudi znani malware Floxif. Od 15. avgusta do 12. septembra je bila aktualna verzija programa, ki je imela vgrajen Floxif. Ta v prvi fazi zbira podatke o okuženem sistemu in jih pošilja krmilno-nadzornim strežnikom, v drugi fazi pa pa lahko na računalnik prenese dodatno zlonamerno kodo in jo izvaja. V CCleanerju se je dogajala samo prva faza. Da je Floxif tekel, je moral biti CCleaner pognan z administratorskimi privilegiji, pa še to na 32-bitni verziji Windows (in ne 64-bitni).

Čeprav okuženi CCleaner objektivno ni povzročal velike škode, je pereče vprašanje, kako se je to lahko zgodilo. Ko so raziskovalci Cisco Talos odkrili prvi primer CCleanerja, ki je komuniciral s sumljivimi domenami, so najprej menili, da gre za okuženo različico, ki je prispela iz sumljivih virov. Toda kasneje so...

Slo-Tech - Ruska hekerska skupina Turla, ki jo poznamo po črvu Wipbot, s katerim so napadli sisteme Windows na številnih veleposlaništvih v Evropi, in podobnih virusih za Linux, uporablja zelo domiselno taktiko za komunikacijo z okuženimi sistemi. Ključni pri okužbi so namreč krmilno-nadzorni strežniki (C&C), s katerih virus prenaša zlonamerno kodo in kamor pošilja podatke. Podatke o naslovu teh strežnikov mora nekako dobiti in če jih uspemo onesposobiti, v veliki meri zatremo okužbo. Zato se je Turla domislila, da bi naslove teh strežnikov skrivali na Instagramov račun Britney Spears.

Prav ste prebrali. Raziskovalci so odkrili zlonamerno razširitev za Firefox, ki počne točno to. Koda gre pogledat...

Europol - Po štirih letih dela so organi pregona iz 37 držav vendarle uspeli razbiti botnet Avalanche, ki je imel svoje lovke razpredene po 180 državah po svetu. Avalanche je deloval od...

threatpost - V usklajeni akciji organov pregona v več državah je padel še en botnet, so sporočili z Interpola. Minuli teden so zasegli 14 nadzornih strežnikov, ki so bili nameščeni v ZDA, Rusiji, Luksemburgu, na Nizozemskem in Poljskem. Preostalih nadzornih strežnikov, ki so bili razpršeni v 14 državah, sicer niso zasegli, so pa blokirali dostop do domen, ki so vodile do njih.

Kot je pri tovrstnih akcijah že v navadi, so organi pregona sodelovali z zasebnimi partnerji, ki imajo ustrezno tehnologijo in znanje za lažjo identifikacijo strežnikov. Interpolu so pomagali Microsoft, Kaspersky Lab, Trend Micro ter japonski Inštitut za kibernetno obrambo.

Gre za botnet Simda, ki je ugonobil več kot 770.000 računalnikov v več kot 190 državah; najbolj so bile na udaru...

Slo-Tech - V usklajeni akciji so Evropolova enota EC3, nizozemska policija, ameriški FBI ter Kaspersky Lab, Shadowserver in McAfee uspeli razbiti botnet Beebone (znan tudi kot AAEH). Omenjeno omrežje je vključevalo vsaj 12.000 aktivnih računalnikov, bržkone pa še bistveno več. Na vrhuncu okužbe septembra lani jih je bilo 100.000. Odkrili so več kot pet milijonov primerov okužb v več kot 195 državah. Najbolj prizadete so bile Japonska, Indija in Tajvan.

Kot so pojasnili za Associated Press, je bila zlonamerna programska oprema v primeru Beebone zelo dovršena. Programska oprema se je posodabljala tudi do 19-krat dnevno, zaradi česar jo je bilo težko prepoznati. Okužbo sta vzdrževala dva modula za...

Europol - Europolova enota EC3 (European Cybercrime Centre) je v sodelovanju z Microsoftom, Symantecom in Anubis Networkom onesposobila botnet Ramnit, v katerem je sodelovalo več kot 3,2 milijona računalnikov. Policijske enote v Nemčiji, Italiji, Veliki Britaniji in na Nizozemskem so zasegle strežnike, ki so opravljali funkcijo nadzorno-krmilnih strežnikov, poleg tega pa so preusmerili več kot 300 domen, ki jih je botnet uporabljal za komunikacijo z okuženimi računalniki.

Kriminalna združba je računalnike v botnetu uporabljala za krajo osebnih in bančnih podatkov. Okuženi računalniki so nepridipravom pošiljali informacije o dogajanju na računalniku in podatke o uporabniku, ki so jih uspeli prestreči. Hkrati so okuženi računalniki z interneta prenašali dodatno škodljivo programsko...

Europol - Pod vodstvom Europola že tretje leto poteka akcija In Our Sites (IOS), s katero se borijo proti spletni prodaji ponaredkov. V več racijah so zasegli že več kot tisoč domen, minuli teden pa so v novi raciji Transatlantic V zaprli 292 domen.

V akciji so poleg Europola sodelovali še ameriška ICE (Immigration and Customs Enforcement) in HSI (Homeland Security Investigations) ter organi pregona iz Albanije, Belgije, Bolgarije, Danske, Francije, Grčije, Hrvaške, Islandije, Italije, Litve, Luksemburga, Kolumbije, Madžarske, Portugalske, Romunije, Srbije, Španije in Velike Britanije. Obsežna ekipa je zasegla 292 domen, s čimer se je skupno število v celotni akciji dvignilo na 1829. Ena domena seveda ne pomeni ene strani, saj...

Europol - Europol je v sodelovanju z nacionalnimi policijami aretiral petnajst oseb v več evropskih državah zaradi suma uporabe računalniških trojanskih konjev (RAT) v nezakonite namene, so sporočili. Operacijo je vodila Francija, aretirani posamezniki pa so tudi iz Estonije, Romunije, Latvije, Italije, Norveške in Velike Britanije.

V sklopu okvirnega programa EMPACT je Europolov EC3 (European Cybercrime Center) nacionalnim policijam pomagal pri identifikaciji osumljencev z zbiranjem podatkov in njihovo analizo ter s koordinacijo. Britanska NCA (National Crime Agency) je v izjavi za javnost sporočila, da so v Veliki Britaniji pridržali pet osumljencev, starih od 20 do 40 let. Troels Oerting,...

Krebs On Security - Eden izmed najbolj razširjenih botnetov, ki je kriminalcem prinesel več kot sto milijonov dolarjev koristi, vedno znova najde način, kako se vrniti. Microsoft mu je hud udarec zadal leta 2012, letos pa so razbili še eno njegovo izpeljanko. Toda po nekaj mesecih zatišja se koda iz Zeusa vrača.

Približno pet tednov po demontaži botneta Gameover Zeus nepridipravi vračajo udarec. Po elektronski pošti so se začela širiti sporočila - največkrat v obliki lažnih bančnih izpiskov - ki vključujejo zlobno kodo, ki poskuša okužiti prejemnikov...

Ars Technica - Microsoft je zasegel 23 domen, ki jih je uporabljalo podjetje Vitalwerks Internet Solutions, ki skrbi za znano storitev No-IP za zagotavljanje dinamičnih DNS-jev. V boju zoper dva kosa škodljive programske opreme z imenoma Bladabindi (NJrat) in Jenxcus (NJw0rm) je Microsoft izvedel radikalno potezo in povzročil težave več kot štirim milijonom legitimnih uporabnikov storitve No-IP.

V izjavi za javnost so v Microsoftu zapisali, da gre za izvršitev sodne odredbe, ki so jo dobili v postopku, ki so ga začeli 19. junija zoper kuvajtskega in alžirskega državljana ter Vitalweks. Omenjena sta pisca ali pa vsaj upravljavca naveden škodljive programske opreme, ki je uporabljala storitev No-IP za komunikacijo s krmilno-nadzornimi strežniki.

Dinamični DNS je eno izmed priljubljenih...

Krebs On Security - Minuli konec tedna je potekala operacija Tovar, pri kateri je sodelovalo več organov pregona, podjetij in univerz, s katero so pošteno pristrigli peruti botnetu Gameover Zeus in omrežju izsiljevalskega virusa CryptoLocker.

V akciji so sodelovali FBI, Europol in britanska National Crime Agency, podjetja CrowdStrike, Dell SecureWorks, Symantec, Trend Micro in McAfee ter univerzi v Amsterdamu in Posarju. Botnet Gameover Zeus je nastal iz sedaj že dobro poznane kode trojanca Zeus, le da je bil povsem decentraliziran v smislu P2P, zato ga je...

Slo-Tech - V usklajeni akciji v 16 večinoma evropskih državah so policisti preiskali 359 prostorov, pridržali 97 oseb in zasegli več kot 1100 kosov računalniške opreme, so sporočili iz Europola. Akcijo sta koordinirala Eurojust in European Cybercrime Centre.

Preiskovali so programsko opremo BlackShades RAT, ki omogoča prevzem nadzora nad oddaljenim računalnikom, kamor smo ga namestili. Tam lahko potem pridobimo dostop do datotek, beležimo pritiske na tipkovnici, zajemamo posnetke z vgrajeno kamero ali zašifriramo vsebino trdega diska. Program se prodaja za manj kot 200 dolarjev, nepridipravi pa so ga uporabili za številna izsiljevanja. V ZDA je znamenit primer 19-letne Miss Teen USA Cassidy Wolf,...

Krebs On Security - Microsoft je v sodelovanju z Europolom, policijski enotami za boj proti računalniškemu kriminalu iz Nemčije, Latvije, Luksemburga, Švice in Nizozemske in ameriškim FBI-jem pomembno oslabil botnet ZeroAccess, ki je v različnih oblikah prisoten že od leta 2009. V moderni obliki naj bi mesečno povzročil vsak 2,7 milijona dolarjev škode, okužil pa je več kot dva milijona računalnikov.

Microsoftova enota za boj proti kriminalu (Digital Crime Unit ali DCU) že dlje časa uspešno sodeluje z organi pregona, ki jim nudi strokovno podporo pri identificiranju in zasegu strežnikov ter njihovi izsleditvi. V preteklosti so tako že uspešno demontirali botnete Rustock, Nitol in delno Zeus, če omenimo le največje. Ta teden je Microsoft na sodišče vložil civilno tožbo zoper neznane storilce upravljavce botneta ZeroAccess,...

ComputerWorld - Mislili bi si, da so Microsoftova svarila, naj ne uporabljamo piratskih verzij njihovega operacijskega sistema, ker lahko vsebujejo zlonamerno programsko opremo, nujno pretiravanje. Pa se je izkazalo, da to ni vedno tako. Kaj vse se skriva v različnih aktivatorjih, krekih in ostalih orodjih, ki za zaobitje zaščite krožijo po spletu, ne ve nihče. A prav enako škodljive so lahko nelegalne kopije na novih računalnikih, ugotavlja Microsoft v svoji preiskavi.

Microsoftov oddelek za boj proti kriminalu Digital Crimes Unit (DCU) je med operacijo b70 odkril, da so se na Kitajskem prodajali novi računalniki, ki so imeli naložene piratske različice Windows in so bili okuženi z zlonamerno programsko opremo. Šlo je za program Nitol, ki zlikovcem...

The New York Times - Ameriški pravosodni policisti so skupaj z Microsoftovimi strokovnjaki v petek izvedli preiskave prostorov v Pensilvaniji in Illinoisu, kjer so zasegli kopico računalniške opreme in zadali resen udarec botnetu Zeus. To je že četrti uspeh Microsoftove enote za boj proti digitalnemu kriminalu, ki je bila predhodno deloma ali v celoti demontirala botnete Waledac, Rustock in Kelihos. Toda primer Zeus je doslej največji.

Microsoftova enota za boj proti digitalnemu kriminalu je posledica zamisli Richarda Boscovicha, ki je pred nastopom službe v Redmondu dolga leta služboval kot državni tožilec v Miamiju na Floridi. Ko se je zaposlil pri Microsoftu, je svoje znanje...

Krebs On Security - Pisali smo že o trdovratnem in pretkanem botnetu TDL-4 (TDSS, Alureon), ki se pritaji na okuženem računalniku in prek omrežja Kad v šifrirani obliki komunicira s piscem, hkrati pa briše tudi ostalo nesnago z računalnika, s čimer si zagotovi monopol. Zanimivo je, da je mogoče TDL-4 enostavno najeti, pri čemer so šli njegovi pisci še dlje in izdelali celo enostaven vtičnik za Firefox za uporabo botneta. Najem je eden izmed načinov, kako TDL-4 prinaša denar svojim avtorjem.

TDL-4 lahko najamemo za anonimno brskanje po spletu, saj prek vtičnika za Firefox promet preusmeri prek okuženih računalnikov, tako da ni mogoče odkriti pravega vira in ponora. Vsak okužen računalnik ima nameščeno knjižico socks.dll, ki omrežje takoj obvesti, da je na voljo nov...

Technology Review - Skupina raziskovalcev, v kateri sodelujejo Politehnika v Montrealu, Univerza Nancy, Univerza Carlton in programska hiša ESET, je pripravila gručo 98 strežnikov v Montrealu, na katere so namestili 3000 kopij Windows XP. S posebno programsko opremo so poskrbeli, da se vsaka kopija počuti kot v svojem računalniku, vsi ti navidezni stroji pa so med seboj povezani podobno kot na internetu. Nato so jih okužili s črvom Waledac, ki je v začetku letošnjega leta pred iztrebljenjem obvladoval kar zajeten kupček računalnikov v svojem botnetu. Microsoft pravi, da več sto tisoč, ki so pošiljali 1,5 milijarde nezaželenih elektronskih sporočil (spam) dnevno.

Vse to so raziskovalci storili z...

BBC - Pod izrazom botnet v ožjem pomenu besede običajno razumemo skupino računalnikov, ki so jih zlikovci okužili z zlobno kodo, tako da zanje opravljajo razne umazane naloge (razpošiljanje spama, DOS-napadi). Ni pa to nujno, saj beseda prihaja iz termina software robots network, torej v širšem pomenu opisuje zgolj skupek računalnikov, ki avtomatizirano poganjajo določena opravila. Posebej pogosto jih žal omenjamo, ko govorimo o mašineriji za pošiljanje spama.

Na BBC-ju so pripravili demonstracijo delovanja botneta, za potrebe katere so najprej s posebej v ta namen napisanim programom Click okužili 22.000 računalnikov nepazljivih uporabnikov. Nato se ustvarili dva nova elektronska naslova pri Gmailu in Hotmailu ter vsem računalnikov v botnetu ukazali, naj začenjo pošiljati spam nanju. Hitre povezave računalnikov v botnetu v internet pa se da izkoristiti tudi za izvedbo DOS-napada, kar so po vnaprejšnjem dogovoru z nekim podjetjem izvedli. Ugotovili so, da je rezervna stran, ki so jo...