マイクロソフトがGamarueマルウェアボットネットとその「広大なインフラ」に関する新たな詳細を発表
トニー・リストラ著
マイクロソフトは木曜日、昨年末に阻止されるまで世界最大規模のマルウェア活動の一つと考えられていた悪名高いGamarueボットネットに関する追加の詳細を明らかにした。
Gamarue(別名Andromeda)は、サイバー犯罪者が営利目的で運営する、感染したコンピュータからなる広大で危険なネットワークです。感染したマシンは、Gamarueが管理するサーバーと通信し、マルウェアを拡散させ、クリックベイト詐欺を仕掛けます。
マイクロソフトは第23回セキュリティインテリジェンスレポートで、Gamarueボットネットの閉鎖は、サイバー犯罪者がランサムウェアを配布し、個人データを盗んで販売するために容赦ない手段を講じていることを示していると述べた。
報告書によると、2015年にマイクロソフトのセキュリティチームは44,000件以上のマルウェア検体の分析を開始し、Gamarueの「広大なインフラ」を明らかにしました。セキュリティチームは、Gamarueボットネットが管理するサーバーのIPアドレス1,200件以上に加え、Webを巡回し80種類以上のマルウェアファミリーのバグを展開しようとする464個のボットネットを法執行機関と共有しました。
FBIと世界中の法執行機関は11月29日にこのボットネットを閉鎖した。マイクロソフトによると、Gamarueは2011年以来、PetyaやCerberランサムウェアのバグ、DDoS攻撃に利用されたKasidetなど、一連の破壊的なバグを拡散させてきたという。
マイクロソフトは木曜日の報告書で、他のボットネットやエクスプロイトと同様に、Gamarue は一種のサイバー犯罪キットとしてブラックマーケットで入手可能であると述べた。Gamarue に追加される可能性のあるコンポーネントには、ボットビルダーや、ハッカーがボットを監視・制御できる PHP ベースのダッシュボードなどがある。
追加のプラグインには、150 ドルのキーロガー、ブラウザの Web フォームからデータを抜き出す 250 ドルの「フォームグラバー」、攻撃者が被害者のデスクトップをリモートで制御およびスパイしてファイルやその他のデータを盗み取ることができる「チームビューアー」などがある。
マイクロソフトは報告書の中で、Gamarueの阻止が波及効果をもたらし、さらに80種類のマルウェアファミリーの拡散が抑制されたと指摘しています。Gamarueの阻止後、マイクロソフトは世界中でGamarueの被害者数が30%減少したと述べています。
