Koordineli devre dışı bırakma operasyonu 29 Kasım 2017 tarihinde başladı ve bu ortak çabanın sonucunda, son altı aydır global düzeyde ayda 1.1 milyondan fazla sisteme bulaştığı raporlanan siber suç ağı işlevsiz hale getirildi.
ESET ve Microsoft araştırmacıları, grubun zararlı etkinliğini durdurmaya yardımcı olmak için teknik analiz, istatistiki bilgiler ve komuta kontrol (C&C) sunucularının bilinen alan adlarını paylaştı. ESET ayrıca, zararlı yazılımın ve kullanıcılar üzerindeki etkisinin son birkaç yıldır devamlı olarak izlenmesinden elde edilen Gamarue’ya ilişkin geçmiş bilgilerini paylaştı.
Gamarue nedir?
ESET tarafından teknik olarak “Win32/TrojanDownloader.Wauchos” olarak tanımlanan Gamarue kötü amaçlı yazılım ailesi, sahibinin özel eklentiler oluşturmasına ve kullanmasına olanak sağlayan özelleştirilebilir bir botdur. Bir eklenti, siber suçlunun kullanıcıların web formlarında girdiği içeriği çalmasına izin verirken, bir diğeri ise suçluların, açığa düşen sistemleri kontrol etmesine olanak tanıyor.
Siber suçlular tarafından Eylül 2011'de oluşturulan ve yer altı forumlarında bir suç kiti olarak satılan Gamarue ailesinin amacı, kimlik bilgilerini çalmak ve kullanıcıların sistemlerine ek zararlı yazılımlar indirmek ve yüklemekti.
Popülerliği, ortalıkta bir takım bağımsız Gamarue botnetlerinin türemesi ile sonuçlandı. ESET, örneklerinin, sosyal medya, anında mesajlaşma, çıkarılabilir medya, istenmeyen posta ve istismar kitleri aracılığıyla dünya çapında dağıldığını tespit etti.
Nasıl çökertildi?
ESET araştırmacıları, ESET Threat Intelligence hizmetini kullanarak tehdidin C&C sunucusu ile iletişim kurabilen özel bir bot oluşturmayı başardılar. Bu sayede, ESET ve Microsoft, Gamarue'nun botnetlerini yakından takip edebildi, mağdurların bilgisayarlarına neler yüklendiğini tespit etti ve C&C sunucularını takip altına alarak çökertilmelerine yardımcı olacak verileri toplamayı başardı. İki şirket, siber suçlularca C&C sunucuları tarafından kullanılan tüm alan adlarının bir listesini çıkardı.
Davranış değişiklikleri takibi zorlaştırıyor
”Gamarue ya da ESET’te bizim kullandığımız adıyla Wauchos, son dönemde en çok saptanan zararlı yazılım ailelerinden biri olmuştu” açıklamasını yapan ESET Güvenlik Araştırmacısı Jean-Ian Boutin, sözlerini şöyle sürdürdü: “Bu nedenle Microsoft, ona karşı ortak çalışma teklifinde bulunduğunda, müşterilerimizin ve genel halkın güvenliğini sağlamak için düşünmeden kabul ettik. Bu tehdit birkaç yıldır varlığını sürdürüyor ve sürekli kendisini geliştiriyor, ki bu da takip etmeyi zorlaştırıyordu. Ancak ESET Threat Intelligence hizmetini kullanarak ve Microsoft araştırmacılarıyla işbirliği içinde çalışarak, zararlı yazılım davranışlarındaki değişiklikleri takip edebildik ve sonuç olarak bu çökertme çabalarında çok değerli ve eyleme geçirilebilir veriler sağladık."