Ботнет DRIDEX взломали третий раз за три месяца⁠⁠

Хотя ботнет Dridex должен был прекратить свое существование еще осенью 2015 года, для чего правоохранительные органы приложили все усилия, он по-прежнему работает. Очевидно, поменялись только операторы ботнета. К примеру, весной текущего года Dridex перепрофилировал свою инфраструктуру для доставки криптовымогателя Locky, оставив позади распространение банковских троянов. Однако новым хозяевам Dridex не везет, специалисты Avira сообщили, что ботнет вновь кто-то взломал и это уже третий случай за последние месяцы.

Исследователи компании Avira пишут, что в последние дни было замечено значительное снижение заражений шифровальщиком Locky. Пытаясь отыскать причину, эксперты обнаружили, что неизвестные лица скомпрометировали основной источник распространения вымогателя – ботнет Dridex. Вредоносный бинарник Locky, который автоматически доставляется на зараженную машину жертвы с серверов ботнета, кто-то изменил. Неизвестные полностью удалили исходные коды вымогателя, подменив их всего двумя словами: «Дурацкий Locky» (Stupid Locky). Очевидно, что это проделали не сами операторы ботнета, а значит, Dridex вновь кто-то взломал.

В феврале 2016 года неизвестный шутник проделал с ботнетом почти то же самое. Тогда Dridex взломали и подменили загрузчик банковского троян Dridex на оригинальную и самую свежую версию инсталлятора бесплатного антивируса Avira. (http://pikabu.ru/story/neizvestnyiy_vzlomal_avtorov_troyana_...)

Еще один похожий инцидент произошел в апреле 2016 года. Тогда в панель управления одного из подконтрольных Dridex ботнетов сумели проникнуть специалисты компании Buguroo. По итогам исследователи опубликовали интересный отчет об устройстве бекэнда Dridex, а также сумели собрать много полезной информации.

Специалисты Avira, впрочем, не считают, что новый взлом что-то изменит. Исследователи уверены, что после данного инцидента Locky по-прежнему будет представлять опасность.

«Я не думаю, что киберпреступники проделали все это сами, так как подобные действия могли навредить их репутации и сказаться их на источнике доходов», — пишет аналитик Avira Свен Карлcен (Sven Carlsen). — «Также после этого инцидента я не торопился бы заявлять, что “Locky мертв”. Однако это доказывает, что даже киберпреступники, мастера маскировки, тоже бывают уязвимы».

Материалы:

Усилия правоохранительных органов http://www.theregister.co.uk/2015/10/14/dridex_botnet_takedo...

Исследователи Avira https://blog.avira.com/im-with-stupid-locky/

Отчет специалистов Buguroo https://buguroo.com/report-analysis-of-latest-dridex-campaig...

Пост https://xakep.ru/2016/05/05/stupid-locky/