+11 голос |
По сообщению FireEye, прекращена активность ботнета Grum, на который по некоторым данным приходилось до 18% мирового спама.
Grum, он же Tedroo, функционирует в Сети около 4-х лет и на пике его боевые порядки насчитывали до 1 млн. зараженных компьютеров, исправно служивших участникам спамерских «партнерок» SpamIt и Rx-Promotion. Зона интереса создателей Grum находилась в сегменте рекламы поддельных лекарств и подделок известных марок одежды.
По свидетельству FireEye, данный ботнет разделен на небольшие сегменты, каждый из которых контролируется отдельной группой C&C серверов. При этом одни серверы (master) отвечают за раздачу конфигурационных файлов и регистрацию новых ботов, другие (secondary) ― за сопровождение спам-рассылок. Для обращения к master-серверам Grum использует несколько IP-адресов, прописанных в бинарном коде. Резервного механизма поиска C&C в ботнете не предусмотрено.
С начала текущего года общее число командных серверов Grum начало сокращаться; по данным FireEye, к началу июля их осталось 8. Из них активны лишь 4: master в Панаме и России, 2 secondary в Нидерландах. Согласно данным WhoIs, российский master-сервер Grum приютился в сетях псковского ООО «ГазИнвестПроект».
Хотя массированные рассылки прекращены, однако эксперты FireEye отмечают, что у группы Grum все еще имеется немалая база инфицированных компьютеров, которые расположены в самых разных странах мира. Они не исключают, что располагая этим активом может быть возобновлена некоторая деятельность, но ее масштабы будут, безусловно, значительно ниже прежней. Речь идет о нескольких десятках тысяч зараженных компьютеров.
Ready, set, buy! Посібник для початківців - як придбати Copilot для Microsoft 365
+11 голос |