Специалисты Microsoft Cybercrime Center сообщили, что за последние месяцы было обнаружено, что уровень заражений устройств вдвое больше, чем было принято считать ранее. Данные выводы удалось сделать благодаря внедрению новых технологий обнаружения заражений.
Microsoft Cybercrime Center использует специальное аналитическое программное обеспечение, работающее в «облаке», которое каждую секунду обрабатывает миллионы единиц информации и выводит результаты на гигантском экране.
Новый подход к визуализации поражений компьютеров показал то, что эксперты уже давно подозревали. Популярное вредоносное ПО для создания ботнетов Win32 / Dorkbot эволюционировало и стало угрожающим. Оно может незаметно похищать большие объемы частной и финансовой информации у миллионов жертв.
Уничтожение Dorkbot
«Мы определили, что почти 100 000 компьютеров ежемесячно заражаются новой версии Dorkbot», — говорит главный менеджер исследований центра Microsoft Malware Protection Center (MMPC) Танмай Ганачарья (Tanmay Ganacharya).
«Такой уровень инфицирования составлял реальную угрозу для пользователей», — рассказал помощник генерального консула подразделения Microsoft Digital Crimes Unit (DCU) Ричард Боскович (Richard Boscovich). — Поэтому мы быстро сообщили власть, которая начала работать над уничтожением этого вредоносного программного обеспечения, опираясь на предоставленный нами анализ ».
Совместными действиями в декабре силовым ведомствам во всем мире удалось остановить распространение Dorkbot. В его обезвреживании участвовали ФБР, Интерпол, Европол и локальные команды Computer Emergency Response Teams. Они физически отключили серверы, через которые киберпреступники распространяли вредоносное программное обеспечение.
Мгновенный анализ данных
После уничтожения основных серверов трафик ботнета специалисты перенаправили на защищенные серверы под контролем Microsoft. Так ее эксперты смогли проанализировать данные вредоносного ПО в рамках программы Microsoft Cyber Threat Intelligence Program (C-TIP). Это позволило им выявить зараженные компьютеры, оповестить пользователей таких машин и дать советы по обезвреживанию вируса.
Анализ данных, проходящих через защищенный сервер, также показал, как злоумышленники использовали программное обеспечение Dorkbot для обмена похищенной информацией через зараженные ПК. Он также открыл, как компьютеры получали новые инструкции и дополнительное ПО.
«Как только компьютер заражается, он буквально начинает разговаривать с преступниками и ожидать от них инструкций для дальнейших действий, — рассказывает Боскович. — Если вспомнить, что заражены миллионы компьютеров, объемы трафика между ними и руководящими серверами впечатляют. Это иногда миллиарды запросов в день ».
При проведении подобной операции часто сложно определять необходимую вычислительную мощность. Поэтому «облако» Microsoft Azure, которая позволяет легко масштабировать нагрузку, стала главным элементом при обезвреживании ботнетов. Без такой возможности на анализ информации могло бы пойти несколько дней или аппаратное обеспечение вообще могло отказать.
«Перед началом операции мы примерно подсчитали сколько данных мы получим от зараженных устройств. Но это лишь оценка », — говорит эксперт Microsoft Digital Crimes Unit Майк Валлулис (Mike Wallulis). — Вот почему Azure стала важным элементом, который помог быстро и динамично масштабировать мощность относительно потребностей ».
Сразу после того, как DCU начал получать данные, их анализом занялось специальное программное обеспечение. Оно строило визуально понятно отображения на карте. Несколько лет назад для получения таких результатов было необходимо несколько дней. Программное обеспечение Microsoft сейчас предоставляет их почти в реальном времени.
Польза таких инструментов заключается в почти мгновенном анализе. Подобные технологии, в которые входят сервисы Microsoft Azure IoT Suite, Power BI, Azure Event Hubs и Azure HDInsight, позволили компании почти мгновенно реагировать.
Лучшая защита «облака» Microsoft
Полученные от Dorkbot данные попали в базу данных Microsoft C-TIP, в которой появляются миллиарды новых записей в день. С этой информацией защиту «облака» Microsoft стал лучше, и корпоративные пользователи могут обезопасить себя от известных разновидностей вредоносного программного обеспечения.
Сервис Azure Active Directory Premium позволяет корпоративным ИТ-администраторам получать информацию по безопасности и сообщает, когда к сети пытается присоединиться заражен гаджет. Последний можно легко обнаружить и обезвредить.
«В среднем компании узнают о взломе через 200 и более дней после того, как он произошел, — говорит Валлулис. — С Azure Active Directory Premium бизнес контролирует доступ устройств, которые числятся в базе Microsoft C-TIP. Это защищает корпоративные системы от масштабных прорывов ».
Microsoft также делится информацией о заражении с киберекспертамы организаций Computer Emergency Response Teams и интернет-провайдеров. Они связываются с пользователями и помогают им обезвредить вредоносное программное обеспечение.
«Мы сотрудничаем с правоохранительными органами, чтобы освободить устройства пользователей от контроля киберзловмисникив, — говорит Боскович. — Мы используем данные от этого вредоносного программного обеспечения, чтобы работа в цифровом мире стала более безопасной для каждого ».
Источник: http://microsoftblog.azurewebsites.net/