FBI端掉Dridex僵尸网络,拘捕了嫌疑人

简介:

FBI已经结盟了一些安全厂商阻止Dridex网银木马的操纵。

在Dridex木马所用的多指令与控制(C&C)服务器已经被撤下后,联邦调查局获得了法院下达的协调查封行动。该查封行动旨在削弱恶意软件的控制网络,这些控制网络用于将窃取的信息上传到网络上并用来钓鱼,以及推送指令和软件配置到僵尸网络的僵尸节点上。在所谓的Shadowserver基金会组织的控制之下,被攻击的流量被重新路由到sinkhole网络通道。

FBI端掉Dridex僵尸网络,拘捕了嫌疑人

此外,Moldovan Andrei Ghinkul已经被指控充当BUGAT / Dridex的背后主谋而涉嫌多重犯罪。 Ghinkul(其中联邦调查局声称叫做AKA Smilex),30岁,于八月下旬在塞浦路斯被逮捕但那时没有透露姓名。作为美国司法部的声明解释,美方正在寻找将其引渡的犯罪阴谋、意图为诈骗的未经授权的计算机访问,以及计算机破坏、电信欺诈和银行欺诈指控。

在最近几个月,Dridex已经走出了ZeuS的影子成为最流行的网银木马之一。这已违反了横跨全球的27个国家数以万计的组织,并将为英国超过2千万英镑(约£30500,000)的损失,以及美国的1千万美金以上的损失负责。

该网络犯罪工具捆绑了各种按键记录和网络注入的功能,已经被世界各地数以万计的计算机感染了,它能够盗窃财务凭证,证书,cookies,实施网上银行诈骗。 Dridex ——之前在2014年7月被普遍认为是网银木马Cridex的后代——对英国,美国和法国的影响尤其严重。

Dridex是通过垃圾邮件以各种不同的伪装散布的。最初,利用了安全漏洞,作为垃圾邮件附件。然而最近,攻击者已经使用了微软Word的宏指令来感染系统。当目标打开Word文档后,宏指令将试图下载并运行Dridex加载器,从而安装其它僵尸网络组件。

Dridex僵尸网络是一个从属关系模式,且僵尸网络本身被划分成13个子僵尸网络,而每个附属给出访问其自己的僵尸的子集。然后每个子僵尸网络的P2P网络中毒,并重定向到受感染的系统的sinkhole网络通道,这意味着Dridex僵尸网络所感染的计算机不仅仅是犯罪分子一开始掌握的那些了。被感染的机器仍然在感染其他的所以需要尽快进行清理操作。美国国家互联网应急中心(US CERT)已经开始着手这一方面了。

Dridex有许多和早期僵尸网络(比如Gameover Zeus)相同的技术和策略,它最近的成功至少可以部分地解释Gameover Zeus僵尸网络早期在市场上拉开的技术差距。

“Gameover Zeus僵尸网络在2014年6月的行为,作为Operation Tovar的一部分给网络犯罪团体留下了空子,尤其是对于那些金融机构,”戴尔安全工作公司反威胁小组的布Brett Stone-Gross解释说。 “为了填补这一空白,黑客创造了新的僵尸网络,其中就包括Dridex和Dyre。 CTU的研究人员观察到Gameover Zeus和Dridex和Dyre之间在策略上,技术上和程序上(TTPs)有显著的重合,这说明以前的下属公司已经搬迁到新的僵尸网络的企业,并继续开展他们的诈骗活动。然而,无论是Dridex还是Dyre都已经能够媲美Gameover Zeus的复杂性、规模和当年的成功。”


作者:sookie233


来源:51CTO


相关文章
|
Web App开发 供应链 安全
FBI针对Tor网络的恶意代码分析
Tor(The Oninon Router)提供一个匿名交流网络平台,它使得用户在浏览网页或访问其它网络服务时不会被跟踪。作为该网络的一部分即所谓的“暗网”(darknet),是指只能通过Tor网络访问的服务器群组,这些服务器提供包括社区论坛、电子邮件等多种服务。虽然提供这些服务都是无恶意的,初衷是用来关注侵犯人权问题,但是由于匿名的原因吸引了很多有犯罪意图的人,比如传播儿童色情。事后执法部门也不能追踪到犯罪者的源IP地址。
425 0
FBI针对Tor网络的恶意代码分析
FBI网络欺诈投诉中心:经济萧条期网络犯罪更汹涌
FBI下属网络欺诈投诉中心发布报告说,2008年网络欺诈案上升了33%,随着经济萧条的进一步加深,今年的情况将更加严重。 去年,美国网络欺诈案件造成的损失创记录的达到2.646亿美元。 网络欺诈遍布全球,不过主要发生于美国、加拿大。
959 0
|
安全 数据安全/隐私保护