Арестованный ботнет Bredolab продолжает работать // 28 Ноября 2012

Некоторые из серверов ботнета Bredolab, который неделю назад "завалили" голландские правоохранительные органы, продолжают делать свое черное дело. Между тем, борцы с ботнетами готовят новые аресты.

Напомним, что 25 октября, после тщательного расследования, Отдел по борьбе с киберпреступлениями голландской полиции сумел перехватить управление многомиллионной сетью ботнетов семейства Bredolab. В руках полиции оказалось 143 контролирующих центра, при помощи которых они начали рассылать на заражtнные компьютеры инструкции по их излечению.

На следующий день в Армении был задержан человек, подозреваемый в управлении этими ботнетами. Сейчас мы уже можем сказать, что это некий Георгий Аванесов, имеющий российское гражданство.

Голландские полицейские сообщили также, что ведут расследование в отношении некоторых из клиентов задержанного в Армении подозреваемого, надеясь идентифицировать "каких-то других преступников". Можно сделать предположения о том, в каком направлении они "роют".

Так, по данным журналиста Брайана Кребса (Brian Krebs), Аванесов появлялся в Интернете под никами "padonaque" и "Atata". Он часто использовал почтовый адрес на домене padonaque.info, который давно ассоциируется с различными вредоносными программами. А ник "Atata" якобы использовался для регистрации по крайней мере двух партнерских аккаунтов на ресурсе SpamIT.com.

SpamIT — это крупная парнерская программа по продаже нелицензионных фармацевтических препаратов (дженериков), использовавшая спамерские методы для привлечения клиентов. Месяц назад она внезапно была закрыта — предположительно из-за повышенного внимания к ней со стороны "общественности".

Многие исследователи связывают SpamIT с другой известной фарма-партнеркой — "ГлавМед". Стоит отметить, что руководство "ГлавМеда" всячески открещивается от почтового спама и заявляет, что аффилиатам разрешается нагонять трафик исключительно "сеошными" методами. Между тем, прошел уже год с того момента, как Российская ассоциация электронных коммуникаций (РАЭК) объявила "ГлавМед" главным спамерским ресурсом. На днях в Москве завели уголовное дело в отношении некоего Игоря Гусева, которого следствие связывает с "ГлавМедом".

Ну а пока правоохранительные органы разных стран ведут свои расследования, эксперты из компании FireEye обнаружили, что мощный удар по Bredolab не оказался для этой сети смертельным. Замечено по крайней мере три действующих сервера, откуда ведtтся управление ботнетами этого семейства.

Специалисты компании полагают, что либо код Bredolab в какой-то момент "утек" в руки других криминальных группировок, либо некоторые из "мини-ботнетов" были сданы им в аренду.

Источник: "Вебпланета"