«Крест на EITest»: как ликвидировали самую крупную сеть для распространения вирусов

10 Мая 11:13
Ботнет EITest состоял из более чем 52 тыс. серверов и киберпреступники использовали его для распространения вредоносов. Специалисты из компаний Abuse.ch, BrillantIT и Proofpoint, занимающихся корпоративной ИБ, сумели осуществить синкхолинг (перенаправление трафика на подставной веб-сервер) управляющей инфраструктуры сети EITest и обезвредить её.

О том, как возник EITest, и как его удалось «прикрыть», расскажем под катом.

Ботнет EITest считался «королем распределения трафика» и использовался злоумышленниками для распространения эксплойтов и перенаправления пользователей на вредоносные сайты и фишинговые страницы.

EITest появился на рынке киберпреступности в 2011 году. Сперва создатели использовали его для своих целей — в основном для маршрутизации трафика на сайты с их «доморощенным» набором эксплойтов Glazunov (он заражал устройства трояном Zaccess).

В то время сеть EITest не представляла серьезной угрозы. Однако к концу 2013 года злоумышленники «прокачали» свою инфраструктуру и уже в июле 2014-го начали сдавать EITest в аренду другим создателям вредоносных программ.

Как заметил один из специалистов Proofpoint, команда EITest начала продавать перехваченный трафик со взломанных сайтов по 20 долларов за тысячу пользователей. Причем минимальный блок для сделки составлял 50 тысяч юзеров.


ЧИТАТЬ МАТЕРИАЛ

Комментарии: