Amióta a Microsoft, a Kyrus Inc és a Kaspersky Labs közreműködésével tavaly szeptemberben lekapcsolta a Kelihos botnetet, a cég digitális bűncselekményekkel foglalkozó osztálya (Microsoft Digital Crimes Unit) folyamatosan nyomoz az ügyben és követi azokat a nyomokat, amelyek elvezethetnek a botnet üzemeltetése mögött álló személyekhez. Ennek a nyomozásnak eredményeképpen a Microsoft tegnap egy panasz módosító indítványt adott be az ügyet tárgyaló bíróságra, amelyben Andrey N. Sablenikov orosz állampolgárt nevezték meg, mint a botnet működtetéséért felelős személyt.

A Facebook ismét aktivizálta magát a Koobface (Facebook anagramma) botnet ellen folytatott harcban és információkat hozott nyilvánosságra a féregről és annak készítőiről. A világ legnépszerűbb közösségi oldala utoljára egy évvel ezelőtt cikkezett a hírhedt káros szoftverről. Most, több mint 3 év megfeszített munka után, a biztonság közösségekkel, a szakemberekkel és a bűnüldöző szervekkel együttműködve a Facebook bejelentette, a vírus 9 hónapja nem ütötte fel a fejét a közösségi oldalon.

Dancho Danchev neves biztonsági kutató és blogger, weboldalán közzétett egy általa végzett OSINT (Open Source Intelligence) nyomozást a Koobface botnet mögött álló kulcsfiguráról. Danchev már a felbukkanása óta figyelemmel kíséri a Koobface működését, leleplező cikkében közzéteszi az azt üzemeltető fiatalember fényképét, elérhetőségeit - beleértve telefonszámait és email címeit - és autójának rendszámát is.

Egy nemrég készült felmérésből kiderült, hogy a britek otthoni számítógépeinek körülbelül 6%-át törték fel kiberbűnözők és képezik ezálltal valamilyen botnet hálózat részét. Ez azt jelenti, hogy a nagyjából 18 millió brit otthoni internet felhasználó közül több, mint 1 millió osztozik számítógépén a kiberbűnözőkkel. Egy másik globális felmérés szerint a világ számítógépeinek átlagosan 5-10%-a kapcsolódik valamilyen bűnözői hálózathoz vagy más néven botnethez. Ezeket a fertőzött gépeket a bűnözők többnyire spam levelek küldésére, illetve elosztott szolgáltatás megtagadásos támadások (DDoS) kivitelezésére használják.

November 8-án az FBI, az észt rendőrség, a Trend Micro és néhány más cég közreműködésével sikeresen lekapcsolt egy több, mint 4000000 fertőzött számítógépet uralma alatt tartó botnet hálózatot. Az “Operation Ghost Click” névre keresztelt akció során az FBI egy New York-i és egy Chicago-i helyszínen sikeresen lekapcsolt, egy 100-nál is több szervert érintő command & control (C&C) infrastruktúrát, míg ezzel egy időben az észt rendőrség több embert is őrizetbe vett Tartu városában.

Megújult a hírhedt TDL4 botnet még több borsot törve ezzel a cégek és a biztonsági szakemberek orra alá. A kutatók szerint a TDL4 által használt rootkitet részben újraírták, látszólag azzal a céllal, hogy a káros szoftvert nehezebb legyen felismerni és eltávolítani. Az Eset szakemberei szerint a készítők teljesen átszabták a kernel mód illesztőt és a felhasználó payload részt, hogy a program még észrevétlenebbül tudjon dolgozni. Az egyelőre a biztonsági kutatók számára sem világos, hogy az eredeti készítők írták át a programot a jobb eladhatóság reményében vagy egy másik bűnözői csoport tökéletesítette a káros szoftvert.

A Microsoft és a Kaspersky biztonsági cég közös erőfeszítése, a Waledac 2.0 botnet lekapcsolása egyértelmű üzenet a botnet üzemeltetők számára, de néhány kérdést is felvet. A Microsoft szeptember 27-én jelentette be, hogy sikeresen lekapcsolták a viszonylag kis méretű, "mindössze" 41000 számítógépet megfertőző és irányítása alatt tartó Kelihos botnetet. A botnetet az üzemeltetők számos célra használták, többek között spam küldésre, pénzügyi adatok eltulajdonítására és célzott szolgáltatás megtagadásos (DoS - Denial of Service) támadások kivitelezésére.

A KelihosContinuing egy jogi támadás a botnet üzemeltetői és a bűnözők által használt hosting cégek ellen. A Microsoft bejelentette, jogi lépéseket tesz a Kelihos botnet létrehozásáért és üzemeltetéséért felelős személyekkel szemben, miután segítségükkel sikerült felszámolni, a nem csak spam terjesztésre, de személyes adatok ellopására és más bűncselekményekre is felhasznált zombihálózatot.

A HoneySink az első nyílt forráskódú ingyenes "sinkhole" eszköz, melyet a Honeynet Project fejlesztett. A kutatók célja az volt, hogy készítsenek egy nyílt forráskódú eszközt, amely képes egy szervezet hálózatán belül elcsípni a botnetek adatforgalmát, valamint tökéletes lehet a botnetek működésének feltérképezésére is. A HoneySink, melynek béta verziója már elérhető, használható DNS, HTTP, FTP és IRC protokollokkal is. Egy sinkhole szerver felállítása egy céges hálózaton beül biztosíthatja, hogy a botnettel fertőzött számítógépek nem tudnak majd az őket irányító C&C szerverrel kommunikálni, helyette ez az adatforgalom a sinkhole szerverre irányítódik át.

Az üzenetek látszólag arról adnak tájékoztatást, hogy új barát felkérésünk érkezett és külsőre is hasonlít a Facebook értesítőjére, a malware készítői nyilván a Facebook sablonját használták az üzenet elkészítésekor. Azonban azon a részen, ahol a valódi levél egy linket tartalmaz a közösségi oldalhoz, a spam levél kártékony oldalak linkjeit tartalmazza. A hamis levél ezen kívül nem kezeli a Facebook fotókat így ez segítségünkre lehet a kártékony üzenet azonosításában.