Благодаря сотрудничеству компании ESET с американским Федеральным Бюро расследований удалось выявить и арестовать одного из создателей ботнета под названием Windigo.


О том, насколько велик был упомянутый ботнет может свидетельствовать тот факт, что до момента обнаружения в 2014 году Windigo был ответственным за доставку более 35 миллионов спам-писем в день!

Windigo по-прежнему опасен?

Напомним, что ботнет Windigo начал работать в 2011 году. В течение почти 3 лет он оставался незамеченный. В марте 2014 года его определили специалисты из компании ESET. Им удалось тогда установить, что за счет ряда специально разработанных компьютерных программ, были заражены несколько десятков тысяч серверов по всему миру. Windigo перенаправлял пользователей серверов на нежелательное или вредоносное содержание (в зависимости от операционной системы) — вредоносные программы для компьютеров с ос Windows, реклама сайтов знакомств для пользователей macOS и порнографического содержания для пользователей iPhone. Тот же ботнет отвечал также за доставку 35 миллионов спам-писем в день!

Компания ESET в сотрудничестве с международными организациями CERT и CRAT описала функционирование ботнета в отчете под названием «Операция Windigo». Помощь инженеров с ESET оказалась неоценима также и для ФБР. Компания предоставила агентству много ценной информации, в частности, о вредоносной деятельности ботнета и его компонентов. В результате агенты ФБР начали мониторинг доходов, генерируемые поддельной рекламной сетью, что помогло им определить одного человека - Россиянина, Максима Сенаха. Указанное физическое лицо управляло денежными операциями, связанными с незаконной деятельностью рекламной сети Windigo.

В августе 2015 года Россиянин на просьбу федеральных властей США, был арестован на границе в Финляндии.

Ботнет Windigo все еще функционирует?

Вскоре после ареста Senakha, исследователи безопасности из Rackspace заметили значительное падение трафика у Windigo. По мнению инженеров из ESET, снижение активности ботнета не означает его перехода в фазу покоя. Эксперты фиксируют новые варианты угроз Win32/Glupteba тесно связанное с операцией Windigo. Именно этот компонент бот-сети действует как открытый прокси-сервер и как сервер-посредник, через который с зараженными компьютерами соединяются злоумышленники, что делает сложнее их обнаружить. Это может свидетельствовать о том, что Windigo через какое-то время будет возобновлена.


Подписка на ежедневные новости