Az akció célja a botnet működésének jelentős megbénítása volt, melynek eredményeképpen a kiberbűnözők csak jelentős költségekkel és kockázattal tudják tovább folytatni illegális tevékenységüket, továbbá az áldozatok számítógépei nem tudnak részt venni a rosszindulatú műveletekben.
Forrás: www.hirado.hu
• A Simda egy „pay-per-install” jellegű malware, amelyet illegális szoftverek és különféle rosszindulatú programok, többek között banki bejelentkezési információk ellopására szolgáló programkártevők terjesztésére használnak. A pay-per-install üzleti modell lehetővé teszi a kiberbűnözőknek, hogy pénzt keressenek a fertőzött PC-khez való hozzáférés más bűnözőknek való eladásából: a vevők további programokat telepítenek ezekre a számítógépekre.
• A Simda terjesztéséhez számos fertőzött webhelyet használnak, amelyeket a kihasználó kódhoz irányítanak át. A támadók legális webhelyeket/szervereket törnek fel, amelyeken rosszindulatú kódot helyeznek el. Amikor a felhasználók meglátogatják ezeket a weboldalakat, a rosszindulatú kód észrevétlenül tartalmat tölt be a kihasználásra készült webhelyről és megfertőzi a nem megfelelően frissített PC-t.
• A Simda bothálózat jelenlétét 190 országban észlelték, és leginkább az Egyesült Államok, az Egyesült Királyság, Oroszország, Kanada és Törökország érintett.
• Becslések szerint a bot 770 ezer számítógépet fertőzött meg világszerte, az áldozatok túlnyomó része az Egyesült Államokban található (2015 eleje óta 90 ezer új fertőzést észleltek).
• Az évek óta aktív Simda olyan mértékben kifinomulttá vált, hogy bármely sérülékenységet képes kihasználni. Új, nehezebben észlelhető változatai pár óránként jelennek meg. Jelenleg a Kaspersky Lab vírusgyűjteményében a Simda malware különféle verzióihoz tartozó, több mint 260 ezer végrehajtható fájl található.
Jelenleg folyik az információk gyűjtése, hogy azonosítsák a Simda bothálózat mögött álló személyeket, akik pénzért árulják más kiberbűnözőknek az általuk készített malware szolgáltatásait.
A kiiktatási akció eredményeképpen a megfertőzött számítógépekkel való kommunikációra használt parancs és vezérlő szervereket leállították. Ugyanakkor fontos megjegyezni, hogy a fertőzések egy része továbbra is fennáll.
Hogy segítse az áldozatokat PC-jük megtisztításában, a Kaspersky Lab létrehozott egy speciálisCheckIP webhelyet. Itt ellenőrizhetik a felhasználók, hogy IP-címüket megtalálták-e a kutatók a Simda parancs és vezérlő szerverein, ami arra utalhat, hogy számítógépük jelenleg fertőzött vagy korábban az volt. Az IP címek a szerverek leállításának eredményeképpen váltak elérhetővé.
Ha valakinek az IP címe érintett, ez még nem jelenti szükségszerűen azt, hogy a gépe fertőzött – egyes esetekben ugyanazt az IP címet több számítógép is használhatja ugyanabban a hálózatban. Mindenesetre ilyenkor érdemes vírusvizsgálatot végezni egy megbízható biztonsági megoldással.
