Google’s Threat Analysis Group (TAG) telah mengganggu botnet berkemampuan blockchain yang dikenal sebagai Glupteba, yang terdiri dari sekitar 1 juta perangkat Windows dan internet of things (IoT) yang disusupi.
Secara bersamaan, Google juga mengajukan gugatan terhadap operator botnet.
Glupteba, yang sudah hadir di seluruh dunia, tumbuh dengan kecepatan ribuan perangkat baru per hari, menurut TAG. Ini menyebar melalui perangkat lunak bajak laut palsu, video YouTube palsu, dokumen berbahaya, sistem distribusi lalu lintas dan banyak lagi, kata para peneliti. Setelah terinstal, ia mulai mencuri kredensial dan data pengguna, menambang cryptocurrency pada host yang terinfeksi, dan menyiapkan proxy untuk menyalurkan lalu lintas internet lain melalui mesin dan router yang terinfeksi.
Kami ingin tahu apa masalah dan tantangan keamanan cloud terbesar Anda, dan bagaimana perusahaan Anda berurusan dengan mereka. Timbang dengan eksklusif, Anonim Threatpost Poll!
“Dan kapan saja, kekuatan botnet Glupteba dapat dimanfaatkan untuk digunakan dalam ransomware yang kuat atau serangan penolakan layanan (DDoS) yang terdistribusi,” Google mencatat dalam gugatannya , dibagikan dengan Threatpost pada hari Selasa.
Operator botnet juga menawarkan sederetan penawaran cybercrime-as-a-service bawah tanah.
“Saat menganalisis binari Glpteba, tim kami mengidentifikasi beberapa yang berisi URL repositori git: git.voltronwork[dot] com , peneliti menjelaskan. “Temuan ini memicu penyelidikan yang mengarahkan kami untuk mengidentifikasi, dengan keyakinan tinggi, beberapa layanan online yang ditawarkan oleh individu yang mengoperasikan botnet Glupteba. Layanan ini termasuk menjual akses ke mesin virtual yang memuat kredensial curian (dont[.]farm), akses proxy (awmproxy), dan menjual nomor kartu kredit (extracard) yang akan digunakan untuk aktivitas jahat lainnya seperti menayangkan iklan berbahaya dan penipuan pembayaran. di Google Ads.”
Untuk mencegah binatang buas, TAG mengganggu “infrastruktur perintah-dan-kontrol utama sehingga mereka yang mengoperasikan Glpteba seharusnya tidak lagi memiliki kendali atas botnet mereka — untuk saat ini,” wakil presiden keamanan grup Royal Hansen dan penasihat umum Halimah DeLaine Prado mengatakan dalam posting hari Selasa.
Operasi tersebut termasuk menghentikan 63 juta Google Documents yang digunakan untuk mendistribusikan Glpteba, 1.313 akun Google, 908 proyek cloud, dan 870 akun Google Ads; dan, bekerja dengan CloudFlare dan lainnya, menghapus server dan menempatkan halaman pengantara peringatan di depan domain berbahaya.
Namun, Hansen dan Prado mengakui bahwa “Penggunaan teknologi blockchain oleh Glupteba sebagai mekanisme ketahanan penting di sini … sifat desentralisasi dari blockchain memungkinkan botnet untuk pulih lebih cepat dari gangguan, membuatnya lebih sulit untuk dimatikan.”
Menguraikan dalam posting terpisah, peneliti TAG menambahkan bahwa “operator Glpteba kemungkinan akan mencoba untuk mendapatkan kembali kendali atas botnet menggunakan perintah cadangan-dan- mekanisme kontrol yang menggunakan data yang dikodekan pada blockchain Bitcoin.”
Secara khusus, C2 menggunakan HTTPS untuk berkomunikasi dengan perangkat yang terinfeksi; namun, jika karena alasan tertentu komunikasi terganggu, sistem yang terinfeksi dapat mengambil domain cadangan yang dienkripsi dalam transaksi terbaru dari berbagai alamat dompet Bitcoin.
Seperti yang ditunjukkan oleh penghapusan Emotet dan TrickBot, jenis jaringan ini cenderung muncul kembali beberapa minggu atau bulan setelahnya. tindakan teknis diambil. Jadi, sebagai lapisan gangguan tambahan, Google juga mengajukan gugatan di Distrik Selatan New York terhadap warga negara Rusia Dmitry Starovikov dan Alexander Filippov.
Keduanya dituntut karena penipuan dan penyalahgunaan komputer, pelanggaran merek dagang, pelanggaran di bawah Racketeer Influenced dan Corrupt Organizations Act (RICO), gangguan hubungan bisnis yang menyakitkan, pengayaan yang tidak adil, dan tuduhan lainnya.
“Litigasi kami diajukan terhadap operator botnet, yang kami yakini berbasis di Rusia,” tulis Hansen dan Prado. “Kami juga mengajukan perintah penahanan sementara untuk meningkatkan upaya gangguan teknis kami. Jika berhasil, tindakan ini akan menimbulkan tanggung jawab hukum yang nyata bagi operator.”
Ada lautan data tidak terstruktur di internet yang berkaitan dengan ancaman keamanan terbaru. DAFTAR HARI INI untuk mempelajari konsep kunci pemrosesan bahasa alami (NLP) dan cara menggunakannya untuk menavigasi lautan data dan menambahkan konteks ke ancaman keamanan siber (tanpa menjadi ahli!). Balai Kota Threatpost interaktif LANGSUNG ini, disponsori oleh Rapid 7, akan menampilkan peneliti keamanan Erick Galinkin dari Rapid7 dan Izzy Lazerson dari IntSights (perusahaan Rapid7), ditambah jurnalis Threatpost dan pembawa acara webinar, Becky Bracken.
Daftar SEKARANG untuk acara LANGSUNG!
Tulis komentar
Bagikan artikel ini:
- iKeamanan Web