Stantinko Botnet

Stantinko-botnet tiedetään toimineen vuodesta 2012. Sen takana olevat kyberhuijaukset ovat jotenkin onnistuneet pitämään bottiverkon aktiivisena seitsemän vuoden ajan, mikä on melko vaikuttavaa. Vaikuttaa siltä, että suurin osa Stantinko Botnet -verkkoon kuuluvista järjestelmistä sijaitsee entisissä Neuvostoliiton maissa - Venäjällä, Ukrainassa, Valkovenäjässä, Kazakstanissa jne. Stantinko Botnet on arvioitu koostuvan yli 500 000 vaarannetusta koneesta. . Suurinta osaa bottiverkkoja käytetään DDoS (Distributed-Denial-of-Service) hyökkäyksiin. Stantinko Botnetissä on kuitenkin mielenkiintoista, että suuresta koostaan huolimatta tätä bottiverkkoa ei ole vielä käytetty DDoS-hyökkäykseen. Sen sijaan Stantinko Botnet -operaattorit ovat käyttäneet sitä useissa muissa kampanjoissa, kuten joukko roskapostisähköposteissa, arkaluonteisten tietojen keräämisessä, väärennettyjen mainosten napsautuksissa, petoksissa jne.

Stantinko-bottiverkkoa käytetään Moneron louhintaan

Äskettäin Stantinko Botnet -operaattorit ovat päättäneet lisätä salaustekniikan louhinnan tehtäväluetteloonsa. He käyttävät kryptovaluutankaivojaa, joka on rakennettu avoimen lähdekoodin projektin ansiosta, jota hyökkääjät ovat hieman muuttaneet. Suurin osa tämän tyyppisistä uhista perustuu XMRigiin , mutta Stantinko Botnet -operaattorit ovat sen sijaan päättäneet muokata ja käyttää 'xmr-stak' -projektia. Stantinko Botnetin käyttämä kaivosmies palvelee kaivosta Monero-kryptovaluuttaa. Stantinko Botnet -operaattorit ovat varmistaneet hävittää kaivosmoduulin voimakkaasti, jotta sen leikkaaminen olisi paljon monimutkaisempaa.

Tartu IP-osoitteisiin YouTube-videokuvauksista

Toinen hämmennys temppu, jota Stantinko Botnet -operaattorit käyttävät, on sen kampanjoissa käytetty viestintämenetelmä. Kiinteän kaivosaltaan käytön sijasta Stantinko Botnetin luojat ovat päättäneet tarttua IP-osoitteisiin eri YouTube-videoiden kuvauksista, jotka he lähettävät alustalle. Stantinko Botnetin käyttämiä osoitteita ei tietenkään ole helposti saatavilla, mutta ne on ensin dekoodattava.

Itsesäilytystekniikat

Varmistaakseen, että heidän haittaohjelmansa käyttävät kaatuneen isännän kaikkea laskentatehoa, tämän uhan kirjoittajat ovat sisällyttäneet ominaisuuden, joka kykenee havaitsemaan kaikki muut salauksenvalvonnan minerit, joita järjestelmässä voi olla. Jos havaitaan toinen kaivostyöntekijä, Stantinko Botnetin luojaten käyttämä haittaohjelma lopettaa sen. Vaikuttaa siltä, että Stantinko Botnet -operaattorit ovat myös ottaneet käyttöön itsesäilytystekniikan salaustekniikkamoduuliinsa. Kaivostyökalu pystyy määrittämään onko käyttäjä käynnistänyt Windowsin Task Manager -sovelluksen, ja jos hänellä on, lopetusmoduuli lopettaa toimintansa. Tämä tehdään estämään uhrin havaitsemista, koska on selvää, että jotain on vialla, kun käyttäjä näkee, kuinka paljon prosessoria käytetään. Tämä fiksu temppu tekee kriptovaluuttamyynnin toiminnan tarkkailun huomattavasti vaikeammaksi havaita ja tekee todennäköisemmäksi uhan jatkamisen toiminnan pidemmän ajan. Stantinko Botnet pystyy myös havaitsemaan kaikki haittaohjelmien torjuntaohjelmat, joita voi olla vaurioituneessa koneessa. Mielenkiintoisella tavalla ei kuitenkaan ryhdytä toimenpiteisiin uhan haitallisen toiminnan piilottamiseksi, vaikka tartunnan saaneessa isännässä olisi virustorjuntaohjelma.

Stantinko Botnetin takana olevat varjoisat ihmiset tekevät hyvää työtä laajentamalla verkostoaan ja pysyvän aktiivisina jopa seitsemän vuoden käytön jälkeen. Stantinko-bottiverkolla on suuri potentiaali aiheuttaa vakavia ongelmia, ja kun olet ollut aktiivinen niin kauan, on epätodennäköistä, että tätä bottiverkkoa käyttävät rikolliset aikovat lopettaa toiminnan pian.