Simda Botnet
O Simda é um botnet ameaçador cujo objetivo principal, de acordo com os pesquisadores da infosec, é entregar malware adicional aos computadores comprometidos. Este é um comportamento bastante único para um botnet, mas o motivo mais provável é que as pessoas por trás dele se ofereceram para vender seu acesso aos sistemas comprometidos para um único cliente, garantindo que apenas o malware do cliente estaria presente no sistema.
Durante a maior parte do tempo em que funcionou, o Simda Botnet conseguiu atrair pouca atenção para si mesmo, permanecendo sob o radar da comunidade de segurança cibernética principalmente. A razão por trás da furtividade do botnet foram suas poderosas técnicas de anti-análise. Simda foi capaz de detectar ambientes de sandbox e passou a consumir todos os recursos da CPU ou executar ping no botnet principal sobre o endereço IP externo da rede do pesquisador. Simda também foi equipado com polimorfismo do lado do servidor.
O vetor de infecção para espalhar o botnet incluiu sites de terceiros que empregaram kits de exploração para entregar o malware. Um dos aspectos característicos do Simda foi a maneira como ele modificou o arquivo hosts do usuário. Embora muitas ameaças de malware abusem do arquivo de hosts para bloquear a abertura de determinados sites, principalmente sites de fornecedores de segurança cibernética, Simda fez com que os endereços de google-analytics.com e connect.facebook.net começassem a apontar para IPs ameaçadores. Uma consequência da manipulação de arquivos dos hosts é que os usuários que não atualizam seu software podem ser infectados novamente no futuro.
Antes de ser retirado do ar, o Simda Botnet se espalhou por 190 países em todo o mundo. Grande parte dos usuários de computador comprometidos estava localizada nos Estados Unidos e na Rússia. Para que o botnet fosse desmantelado, foram necessários os esforços combinados de Kaspersky, TrendMicro, FBI, Polícia Grand-Ducale Section Nouvelles Technologies em Luxemburgo, oficiais da Unidade Nacional Holandesa de Crimes de Alta Tecnologia (NHTCU), do Cyber Defense Institute e o Departamento de Crimes Cibernéticos do Ministério do Interior russo 'K', com a ajuda do Escritório Central Nacional da INTERPOL em Moscou. Como consequência da operação, 14 servidores de cinco países diferentes - Holanda, EUA, Luxemburgo, Rússia e Polônia foram apreendidos.
