A ESET colaborou para interromper as atividades da botnet (rede zumbi) Mumblehard, em cooperação com a CyS-CERT e a Polícia Cibernética da Ucrânia.
A rede controlada por hackers era composta por milhares de sistemas Linux infectados em todo o mundo, incluindo o Brasil.
“A análise forense revelou que, no momento da interrupção da atuação da botnet, a rede contava com cerca de quatro mil sistemas de mais de 63 países diferentes”, explica Marc-Etienne Léveillé, Pesquisador de Malware de ESET. Para realizar as atividades ilegais e executar o envio de spams, os hackers utilizavam hospedeiros infectados. Entre os países da América Latina atingidos foram registradas 60 vítimas no Brasil, 27 no Chile, 14 no México, 12 na Colômbia, 10 na Argentina, 4 no Peru e 2 na Bolívia.
Ao publicar a descoberta da botnet em 2015, os pesquisadores da ESET também registraram um domínio que atuava como servidor de comando e controle (C & C), que tinha como objetivo estimar a magnitude e a distribuição da rede. Isso levou os autores do malware a reduzir o número de servidores C & C para apenas um, localizado na Ucrânia, para que conseguissem obter o controle direto do atacante.
Com a ajuda da Polícia Cibernética da Ucrânia e da empresa CyS, foi possível obter informações do servidor C & C até o final de 2015. A análise forense revelou que as hipóteses iniciais sobre o tamanho da botnet e sua finalidade estavam corretas, tendo como atividade principal o envio de spams. Além disso, foi encontrada uma grande quantidade de diferentes painéis de controle para facilitar a gestão da rede de computadores zumbis pelo atacante.
Com base em dados recolhidos a partir do servidor sinkhole (servidor controlado pela ESET), foi possível notificar os administradores dos servidores infectados. A equipe de Respostas de Emergência da Alemanha (CERT- Bund) interveio e começou a notificar as vítimas atingidas. “Ao receber uma notificação de que o servidor está infectado, recomendamos que os usuários entrem em contato com o nosso sistema de Indicadores de repositório Github para obter mais detalhes de como encontrar e eliminar o Mumblehard do seu sistema”, recomenda Léveillé.
“Foi necessário um grande esforço de várias partes para que a interrupção dessa botnet fosse possível. Apesar de não ser a mais difundida, perigosa ou sofisticada que existe hoje, ainda assim, mostra que o trabalho em conjunto dos pesquisadores de segurança com outras entidades têm um importante impacto na redução das atividades criminosas na internet. Estamos orgulhosos dos nossos esforços para tornar a Internet um lugar seguro”, reforça Marc-Etienne Léveillé.
