WhiteHat News #ID:1368
WhiteHat Support
-
04/06/2014
-
0
-
110 bài viết
Botnet Ramnit bị triệt phá
Mạng botnet Ramnit từng kiểm soát 3,2 triệu máy tính trên toàn thế giới vừa bị triệt phá trong một chiến dịch do Cảnh sát châu Âu (Europol) phối hợp cùng các hãng an ninh mạng thực hiện.
Trung tâm tội phạm mạng thuộc Europol (EC3), với sự trợ giúp từ Symantec, Microsoft và Anubis Networks, đã đánh sập hệ thống máy chủ C&C và điều hướng 300 tên miền được botnet Ramnit sử dụng cho mục đích ăn cắp tài khoản ngân hàng. EC3 cho biết chiến dịch được thực hiện dưới sự chỉ đạo của Tòa án quốc tế The Hague, có sự tham gia của các nước Anh, Đức, Italia và Hà Lan.
Ramnit được phát hiện lần đầu vào tháng 11/2010. Cơ quan điều tra ước tính hiện có khoảng 350.000 máy tính chạy hệ điều hành Windows (cả máy client và server) nhiễm Ramnit, trong khi tổng số máy từng dính mã độc này là 3,2 triệu. Đất nước chịu ảnh hưởng nặng nhất là Ấn Độ, chiếm 27% tổng số máy tính bị nhiễm, theo sau là Indonesia, Việt Nam, Bangladesh và Mỹ.
Chiến dịch vừa qua là sự tiếp nối xu hướng được khởi xướng hồi tháng 6 năm ngoái với chiến dịch Tovar nhằm đánh sập mạng botnet Gameover ZeuS - đó là sự phối hợp trên quy mô quốc tế giữa cơ quan hành pháp và các công ty an ninh mạng nhằm ngăn chặn hành động phạm pháp chứ không tập trung vào bắt giữ tội phạm.
Ramnit có nhiều đặc điểm được lấy từ GOZeuS. Theo Symantec, Ramnit bắt đầu chỉ là một con sâu, tự chép mình vào các ổ di động, lây nhiễm vào file .exe., .dll, và .html, sau đó mở cổng hậu. Tuy nhiên, Ramnit còn có phần tiến hóa hơn khi sử dụng công cụ khai thác để tự phán tán, đồng thời vay mượn một số module từ mã độc GOZeuS.
Ramnit chứa 6 module chính: một có nhiệm vụ quét ổ đĩa để tìm kiếm các tệp tin nhạy cảm và thông tin đăng nhập dịch vụ ngân hàng; một server FTP nặc danh nhằm duy trì truy cập từ xa tới máy nhiễm và gửi nhận dữ liệu; một module mạng ảo, cũng để duy trì truy cập qua đó cho phép tin tặc giả mạo người dụng và chiếm phiên truy cập Web; một module gián điệp không chỉ giám sát hoạt động của người dùng mà còn có thể giả mạo website của ngân hàng để lừa người dùng cung cấp thêm các thông tin khác như số thẻ tín dụng.
Mã độc còn được trang bị các phương pháp tự bảo vệ: khi Ramnit tấn công một máy tính, nó tự chép mình vào cả bộ nhớ và ổ đĩa cứng. Nếu mã độc trên ổ cứng bị diệt, bản sao trên bộ nhớ có thể phát hiện và cài lại mã độc lên ổ cứng.
"Sự thành công của chiến dịch cho thấy tầm quan trọng của sự phối hợp quốc tế giữa cơ quan hành pháp và doanh nghiệp trong cuộc chiến chống lại mối đe dọa toàn cầu của tội phạm mạng", Europol khẳng định. "Chúng tôi sẽ tiếp tục nỗ lực triệt phá các mạng botnet và ngăn chặn hoạt động của cơ sở hạ tầng lõi được tội phạm mạng sử dụng để thực hiện các hoạt động trái pháp luật. Cùng với các nước thành viên Liên minh châu Âu và đối tác trên toàn cầu, mục tiêu của chúng tôi là bảo vệ người dân trước mối đe dọa từ tội phạm mạng".
Nguồn: DarkReading
Trung tâm tội phạm mạng thuộc Europol (EC3), với sự trợ giúp từ Symantec, Microsoft và Anubis Networks, đã đánh sập hệ thống máy chủ C&C và điều hướng 300 tên miền được botnet Ramnit sử dụng cho mục đích ăn cắp tài khoản ngân hàng. EC3 cho biết chiến dịch được thực hiện dưới sự chỉ đạo của Tòa án quốc tế The Hague, có sự tham gia của các nước Anh, Đức, Italia và Hà Lan.
Ramnit được phát hiện lần đầu vào tháng 11/2010. Cơ quan điều tra ước tính hiện có khoảng 350.000 máy tính chạy hệ điều hành Windows (cả máy client và server) nhiễm Ramnit, trong khi tổng số máy từng dính mã độc này là 3,2 triệu. Đất nước chịu ảnh hưởng nặng nhất là Ấn Độ, chiếm 27% tổng số máy tính bị nhiễm, theo sau là Indonesia, Việt Nam, Bangladesh và Mỹ.
Chiến dịch vừa qua là sự tiếp nối xu hướng được khởi xướng hồi tháng 6 năm ngoái với chiến dịch Tovar nhằm đánh sập mạng botnet Gameover ZeuS - đó là sự phối hợp trên quy mô quốc tế giữa cơ quan hành pháp và các công ty an ninh mạng nhằm ngăn chặn hành động phạm pháp chứ không tập trung vào bắt giữ tội phạm.
Ramnit có nhiều đặc điểm được lấy từ GOZeuS. Theo Symantec, Ramnit bắt đầu chỉ là một con sâu, tự chép mình vào các ổ di động, lây nhiễm vào file .exe., .dll, và .html, sau đó mở cổng hậu. Tuy nhiên, Ramnit còn có phần tiến hóa hơn khi sử dụng công cụ khai thác để tự phán tán, đồng thời vay mượn một số module từ mã độc GOZeuS.
Ramnit chứa 6 module chính: một có nhiệm vụ quét ổ đĩa để tìm kiếm các tệp tin nhạy cảm và thông tin đăng nhập dịch vụ ngân hàng; một server FTP nặc danh nhằm duy trì truy cập từ xa tới máy nhiễm và gửi nhận dữ liệu; một module mạng ảo, cũng để duy trì truy cập qua đó cho phép tin tặc giả mạo người dụng và chiếm phiên truy cập Web; một module gián điệp không chỉ giám sát hoạt động của người dùng mà còn có thể giả mạo website của ngân hàng để lừa người dùng cung cấp thêm các thông tin khác như số thẻ tín dụng.
Mã độc còn được trang bị các phương pháp tự bảo vệ: khi Ramnit tấn công một máy tính, nó tự chép mình vào cả bộ nhớ và ổ đĩa cứng. Nếu mã độc trên ổ cứng bị diệt, bản sao trên bộ nhớ có thể phát hiện và cài lại mã độc lên ổ cứng.
"Sự thành công của chiến dịch cho thấy tầm quan trọng của sự phối hợp quốc tế giữa cơ quan hành pháp và doanh nghiệp trong cuộc chiến chống lại mối đe dọa toàn cầu của tội phạm mạng", Europol khẳng định. "Chúng tôi sẽ tiếp tục nỗ lực triệt phá các mạng botnet và ngăn chặn hoạt động của cơ sở hạ tầng lõi được tội phạm mạng sử dụng để thực hiện các hoạt động trái pháp luật. Cùng với các nước thành viên Liên minh châu Âu và đối tác trên toàn cầu, mục tiêu của chúng tôi là bảo vệ người dân trước mối đe dọa từ tội phạm mạng".
Nguồn: DarkReading