A minap egyidejűleg végrehajtott műveletsor eredményeképpen 10 parancs- és vezérlő szervert foglaltak le a hatóságok Hollandiában, és további szervereket állítottak le az Egyesült Államokban, Oroszországban, Luxemburgban és Lengyelországban. Az akcióban a hollandiai Dutch National High Tech Crime Unit (NHTCU), az amerikai Federal Bureau of Investigation (FBI), a luxemburgi Police Grand-Ducale Section Nouvelles Technologies, valamint az orosz Belügyminisztérium „K” kiberbűnözéssel foglalkozó, az Interpol moszkvai hivatala által támogatott osztályának munkatársai vettek részt.
Az akció célja a botnet működésének megbénítása volt, melynek eredményeképpen a kiberbűnözők legföljebb csak tetemes költségekkel és kockázattal tudják folytatni illegális tevékenységüket, továbbá az áldozatok számítógépei nem tudnak részt venni a rosszindulatú műveletekben.
- A Simda egy „pay-per-install” jellegű malware, amelyet illegális szoftverek és különféle rosszindulatú programok, egyebek között banki bejelentkezési információk ellopására szolgáló programkártevők terjesztésére használnak. A pay-per-install üzleti modell lehetővé teszi a kiberbűnözők számára, hogy pénzt keressenek a fertőzött pc-khez hozzáférés más bűnözőknek eladásából; a vevők további programokat telepítenek ezekre a számítógépekre.
- A Simda terjesztéséhez számos fertőzött webhelyet használnak, amelyet a kihasználó kódhoz irányítanak át. A támadók legális webhelyeket/szervereket törnek fel, amelyeken rosszindulatú kódot helyeznek el. Amikor a használók meglátogatják ezeket a weboldalakat, a rosszindulatú kód észrevétlenül tartalmat tölt be a kihasználásra készült webhelyről és megfertőzi a védelmében nem frissített pc-t.
- A Simda bothálózat jelenlétét 190 országban észlelték, és leginkább az Egyesült Államok, Nagy-Britannia, Kanada, Orosz- és Törökország érintett.
- Becslések szerint a bot 770 000 számítógépet fertőzött meg világszerte, az áldozatok nagy többsége az Egyesült Államokban található (2015 eleje óta 90 000 új fertőzést észleltek).
- Az évek óta aktív Simda olyan mértékben kifinomulttá vált, hogy bármely sérülékenységet képes kihasználni. Új, nehezen észlelhető változatai pár óránként jelennek meg. Jelenleg a Kaspersky Lab vírusgyűjteményében a Simda malware különféle verzióihoz tartozó, több mint 260 000 végrehajtható fájl található.
Jelenleg folyik az információk gyűjtése avégett, hogy azonosítsák a Simda bothálózat mögött álló személyeket, akik pénzért árulják más kiberbűnözőknek az általuk készített malware szolgáltatásait.
Avégett, hogy segítse az áldozatokat számítógépük megtisztításában, a Kaspersky Lab létrehozott egy speciális CheckIP webhelyet. Ott bárki ellenőrizheti, hogy IP-címét megtalálták-e a kutatók a Simda parancs és vezérlő szerverein, ami arra utalhat, hogy számítógépe jelenleg fertőzött vagy volt. Az IP-címek a szerverek leállításának eredményeképpen váltak elérhetővé.
Ha valakinek az IP címe érintett, ez még nem jelenti szükségszerűen azt, hogy a gépe fertőzött is – egyes esetekben ugyanazt az IP-címet több számítógép is használhatja ugyanabban a hálózatban. Mindenesetre ilyenkor érdemes vírusvizsgálatot végezni egy megbízható biztonsági megoldással.
