O Anel de Cibercrime do Bamital Botnet de US $1 Milhão/Ano foi Desmantelado pela Microsoft e pela Symantec
A tarefa assustadora dos especialistas em segurança e pesquisadores do combate a malware e cibercriminosos valeu a pena de uma maneira excelente, à medida que os gigantes de software Microsoft e Symantec desmantelam um círculo cibernético responsável por controlar centenas de milhares de PCs comprometidos sem o conhecimento de seus usuários.
O que é conhecido como Bamital Botnet ou Bamital, uma infecção por Trojan que afeta um vasto grupo de computadores comprometidos que alcançam números na casa das centenas de milhares, foi interrompido quando os técnicos que trabalhavam em nome da Microsoft Corp e da Symantec desligaram os servidores que controlavam esses sistemas comprometidos.
Os datacenters localizados em Weehawken, Nova Jersey e Manassas, Virgínia, foram invadidos por técnicos da Microsoft e da Symantec com a assistência dos marechais federais dos EUA sob uma ordem emitida pelo Tribunal Distrital dos EUA em Alexandria, Virgínia. Durante o ataque, o controle de um servidor nas instalações de NJ foi tomado e, em seguida, persuadiu os operadores do data center da Virgínia a desligar um servidor em sua empresa matriz localizada na Holanda. Richard Boscovich, consultor geral assistente da Unidade de Crimes Digitais da Microsoft, explicou às fontes que eles tinham "um alto grau de confiança" de que a operação teve êxito em interromper as operações de crimes cibernéticos e a botnet Bamital.
Sabe-se que as redes de bots são uma importante fonte para espalhar malware, invadir sistemas e executar ações maliciosas sem detecção na Internet. Com a maioria das botnets sendo um grupo de muitos computadores comprometidos sob o controle de um servidor de comando e controle, a destruição potencial que eles podem causar é praticamente infinita.
Acredita-se que o botnet Bamital seja responsável por comprometer o que a Microsoft e a Symantec estimam entre 300.000 e 1 milhão de PCs, todos infectados com software malicioso confinado ao botnet. Agora, com um número tão grande de computadores que não conseguem mais receber comandos do servidor que foi desligado, esses sistemas serão direcionados para um site que informa aos usuários que o computador foi infectado por malware quando a tentativa de pesquisar na web. Com essa provação, a Microsoft e a Symantec estão oferecendo recursos gratuitos aos usuários de computador afetados para restaurar o acesso às pesquisas na web. A mensagem enviada aos usuários, como mostra a Figura 1 abaixo, será exibida: "Você acessou este site porque é muito provável que seu computador seja infectado por malware que redireciona os resultados de suas consultas de pesquisa. Você receberá esta notificação até você remove o malware do seu computador ".
Figura 1. Exemplo da Mensagem da Microsoft Alertando os Usuários de PC sobre o Bamital
As forças de investigação nem sempre tiveram a mesma sorte que a Microsoft e a Symantec em fazer uma descoberta tão abundante de uma enorme rede de bots. No passado, unidades criminosas de empresas de segurança e várias agências de aplicação da lei em todo o mundo fariam uma interrupção em seus casos a cada lua azul, mas só seriam bem-sucedidas efetuando até dezenas de milhares de sistemas comprometidos em uma botnet. O anel botnet da Bamital é de longe um dos maiores grupos de sistemas comprometidos que encontraram seu fim nas mãos de uma unidade criminal.
A Microsoft tem sido uma força forte na obtenção de ordens judiciais para interromper as botnets. A interrupção do Bamital seria a sexta vez que a Microsoft atenderia a esses pedidos desde 2010. Isso pode parecer um número pequeno, mas em retrospecto, derrubar um servidor de botnet responsável por controlar até um milhão de sistemas comprometidos não é uma tarefa fácil.
Monetariamente, a Microsoft e a Symantec estimam que a Bamital foi responsável por obter pelo menos US $1 milhão em lucros em um determinado ano para os organizadores da operação. Falando dos operadores da Bamital, 18 assaltantes de 'John Doe' espalhados pelos Estados Unidos, Austrália, Rússia, Romênia e Grã-Bretanha, foram identificados como tendo negócios nesse assunto registrando sites e operando sob nomes fictícios.
Bamital também não era seu botnet comum. Ele redirecionou os resultados de pesquisa de praticamente todos os grandes mecanismos de pesquisa da Internet. Por meio de métodos fraudulentos de isca de links e envenenamento de resultados de pesquisa, os autores da Bamital conseguiram forçar os computadores infectados a gerar grandes quantidades de cliques automáticos nos anúncios, concedendo aos criadores um belo dia de pagamento.
O Bamital pode parecer um reminiscente do Trojan DNS Changer, que era o local onde, após a retirada dos servidores, as pessoas ainda eram instruídas a ir a um site para verificar se estavam infectadas pela ameaça do DNS Changer. Devido ao vasto alcance do Bamital, ele pode acabar causando precauções, mesmo que o servidor de comando e controle tenha terminado. Basicamente, ainda existem mais de um milhão de computadores infectados por aí que poderiam executar ações maliciosas sem a orientação de seus líderes. A Microsoft e a Symantec descobriram sistemas infectados com um cookie colocado no sistema, escrito em russo. Isso pode ser uma evidência conclusiva da origem de alguns dos 18 supostos hackers.
A Microsoft, desde o encerramento do Bamital, forneceu detalhes específicos da remoção e operação no seu blog aqui vinculado. Os esforços da Microsoft e da Symantec serão notados por muitos e podemos até observar um ligeiro declínio na atividade fraudulenta na Internet por um curto período de tempo. Felizmente, outras unidades de segurança e crime podem sinergizar seus esforços para combater gangues cibernéticas, assim como a Microsoft e a Symantec fizeram para facilitar a vida de todos nós em nosso mundo cibernético.