3 marca 2015

Pomimo licznych raportów agencji prasowych informujących o tym, że Europol przeprowadził potężną operację mającą na celu zatrzymanie działania botnetu Rmnet, analitycy Doctor Web kontynuują monitorowanie jego aktywności. Zgodnie z informacjami w mediach, specjaliści policji brytyjskiej zajmujący się zwalczaniem cyberprzestępczości, razem z ekspertami z Niemiec, Włoch i Holandii ograniczyli aktywność kilku głównych serwerów kontrolno-zarządzających botnetu Rmnet.

Zgodnie z wiadomościami prasowymi, 24 lutego 2015 serwery kontrolno-zarządzające botnetu Rmnet były wyłączone dzięki wspólnym działaniom kilku organizacji. Operacja ta zaangażowała Europejskie Centrum Zwalczania Cyberprzestępczości działające w ramach Europolu, CERT-EU, Symantec, Microsoft, AnubisNetworks i inne organizacje europejskie. Przykładowo na stronie Europolu podano, że specjaliści d/s bezpieczeństwa IT zdołali przechwycić około 300 adresów domen internetowych zawierających serwery kontrolno-zarządzające wygenerowane przez ten złośliwy program, a agencja Reuters informuje, że 7 serwerów kontrolno-zarządzających zostało wyłączonych podczas tej operacji. Zgodnie z informacją podaną przez Symantec, ta operacja dezaktywowała botnet zawierający 350 000 zarażonych urządzeń, a bazując na informacjach z Microsoftu, ich całkowita liczba mogła osiągnąć 500 000.

Analitycy bezpieczeństwa Doctor Web monitorują kilka podsieci botnetu, stworzonych przez hakerów z użyciem różnych wersji wirusa Rmnet. Tak więc, modyfikacja nazwana Win32.Rmnet.12 jest znana od września 2011. Win32.Rmnet.12 jest złożonym, wielokomponentowym wirusem zarażającym pliki, składającym się z kilku modułów. Posiada zdolność do samoreplikacji. Może wykonywać polecenia wydawane przez przestępców, osadzać treści w załadowanych stronach www (co teoretycznie pozwala cyberprzestępcom na uzyskanie dostępu do informacji o kontach bankowych ofiar), jak i wykradać "ciasteczka" i hasła zapisane w popularnych klientach FTP, takich jak Ghisler, WS FTP, CuteFTP, FlashFXP, FileZilla, Bullet Proof FTP i innych.

Późniejsza modyfikacja wirusa, Win32.Rmnet.16, różni się od swojego poprzednika kilkoma funkcjami architektury, takimi jak wykorzystywanie podpisu cyfrowego podczas wyboru serwera kontrolno-zarządzającego. Wirus jest w stanie również wykonywać komendy pobierania i uruchamiania niezależnych plików, dokonywać samoaktualizacji, wykonywać zrzuty z ekranu i wysyłać je do cyberprzestępców, jak i uczynić system operacyjny niezdolnym do dalszej pracy. Ponadto jeden z modułów potrafi unieszkodliwiać główne procesy popularnych programów antywirusowych. Tak jak jego poprzednik, Win32.Rmnet.16 potrafi modyfikować główny sektor rozruchowy (MBR) dysku i zapisywać pliki na końcu obszaru dysku w formie zaszyfrowanej.

Pomimo faktu, że liczne agencje prasowe raportowały o udanej operacji mającej na celu zablokowanie aktywności botnetu Rmnet, eksperci Doctor Web nie odnotowali żadnego spadku aktywności botnetów monitorowanych przez swoje laboratorium antywirusowe. Do tej pory analitycy bezpieczeństwa Doctor Web dowiedzieli się o przynajmniej 12 podsieciach botnetu Rmnet, korzystających z algorytmu generowania domen serwerów kontrolno-zarządzających i o co najmniej dwóch podsieciach Win32.Rmnet.12, nie używających funkcji automatycznego generowania domen (specjaliści firmy Symantec zablokowali jedną z podsieci o inicjatorze 79159c10 należącą do pierwszej z wymienionych kategorii).

Przykładowo, dwie podsieci Win32.Rmnet.12 wciąż infekują 250 - 270 tysięcy hostów dziennie, co zostało zilustrowane poniżej:

Średnia dzienna aktywność pierwszej podsieci Win32.Rmnet.12

Średnia dzienna aktywność drugiej podsieci Win32.Rmnet.12

Natomiast monitorowana przez analityków bezpieczeństwa Doctor Web podsieć wirusa Win32.Rmnet.16 wykazuje znacznie mniejszą dzienną aktywność, ale tu również nie widać "awarii" powiązanych z możliwym wyłączeniem serwerów kontrolno-zarządzających:

Średnia dzienna aktywność botnetu Win32.Rmnet.16

Podobna sytuacja ma miejsce w przypadku monitorowania komputerów zarażonych innym złośliwym modułem, znanym jako Trojan.Rmnet.19, co przedstawia poniższy wykres:

Średnia dzienna aktywność botnetu Trojan.Rmnet.19

Ukazane statystyki pokazują, że organizatorzy operacji mającej na celu zniszczenie botnetu Rmnet najwyraźniej ponieśli porażkę w wyeliminowaniu wszystkich serwerów kontrolno-zarządzających tego botnetu. Co najmniej 500 000 komputerów, zarażonych różnymi modyfikacjami tego wirusa, wciąż pozostaje aktywnych i odpowiada na polecenia wydawane z ocalałych serwerów. Doctor Web będzie nadal monitorował sytuację dotyczącą tego zagrożenia.