twitter


Dari hampir 2.500 perusahaan di seluruh dunia yang telah diserang oleh Kneber botnet, 374 di antaranya adalah organisasi yg berbasis di AS, menurut NetWitness Corp, perusahaan yang mengungkap serangan botnet bulan lalu.

Daftar tsb termasuk perusahaan Fortune 500, lokal, instansi pemerintah negara bagian dan federal, perusahaan-perusahaan energi, ISP dan lembaga pendidikan. Sebanyak hampir 75.000 komputer di seluruh dunia yang diyakini telah diganggu oleh botnet, menurut NetWitness.

Sebuah cache 75GB dari data curian menunjukkan bahwa botnet, yang merupakan varian dari Zeus, telah digunakan untuk mencuri berbagai macam informasi, termasuk puluhan ribu rahasia login - terutama untuk rekening keuangan.

Selain informasi perbankan, Kneber bot juga tampaknya dirancang untuk mengambil jenis informasi lain, menunjukkan bahwa kegunaaan Zeus dirancang lebih luas dari sekadar mencuri data kredensial perbankan.

NetWitness sejauh ini menolak untuk mengidentifikasi komputer-komputer perusahaan mana yang telah menjadi korban dalam serangan di seluruh dunia tsb. Namun Wall Street Journal mencantumkan Merck & Co., Cardinal Helth Inc., Paramount Pictures dan Juniper Networks Inc. sebagai empat perusahaan yang telah jadi korban.

Alex Cox, analis utama di NetWitness yang menemukan Kneber bot, mengatakan bahwa tidak semua perusahaan tsb merupakan korban serangan yang ditargetkan. Dalam beberapa kasus, sistem perusahaan terpengaruh sebagai akibat dari drive-by downloads; dalam kasus lain, perusahaan tampaknya telah ditargetkan dengan kampanye phishing yang dirancang untuk mengelabui individu-individu untuk membuka e-mail dengan link dan lampiran jahat (malicious link).

Hal tsb mengindikasikan bahwa botnet digunakan oleh berbagai kelompok dengan tujuan yang berbeda-beda, kata Cox.

Data yang ditemukan oleh NetWitness melibatkan aktivitas Kneber botnet antara Desember 2009 dan bulan lalu dan menunjukkan bahwa, dalam banyak kasus, sistem terganggu melalui lubang keamanan Adobe PDF reader (HILink sudah pernah memperingatkan mengenai mslh ini).

Cox juga mencatat bahwa Kneber botnet tampaknya telah dirancang untuk lebih tahan terhadap upaya Takedown. Lebih dari separuh mesin yg terinfeksi Kneber juga terinfeksi dengan "peer-to-peer bot" yg disebut bot "Waledac". Meskipun tidaklah lazim bahwa suatu sistem terganggu oleh multiple malware, dalam hal ini tampaknya bot Kneber secara aktif melakukan logging terhadap aktivitas Waledac dan benar-benar men-download Waledac untuk mesin yang telah diinfeksinya, kata Cox.

"Entah apakah orang2 di belakang Zeus adalah orang-orang yang sama di belakang Waledac, atau ada beberapa kerja sama antar-geng yang terjadi," katanya.

Upaya untuk menggunakan dua bot yg berbeda, masing-masing dengan infrastruktur perintah-dan-kontrol yg berbeda pula, dan berjalan pada satu sistem sangatlah signifikan, kata Cox. "Jika saya memberantas struktur perintah-dan-kontrol Zeus, Waledac masih berjalan sehingga saya dapat menggunakannya untuk mendorong Zeus kembali ke sistem yg terinfeksi", katanya. "Paling tidak, dua keluarga botnet yang berbeda struktur [perintah-dan-kontrol] dapat memberikan toleransi kesalahan dan recoverability ketika system burusaha utk diperbaiki," kata Cox dalam sebuah laporan perincian Kneber botnet.

Analisis alamat IP, informasi pendaftaran dan domain menunjukkan bahwa server yang digunakan untuk melayani malware sejenis Kneber ini adalah tersebar secara global, kata Cox. Dan server-server tsb tampaknya berbasis di Cina, beberapa terletak di Ukraina, Korea, Panama dan AS.

Sementara itu, informasi pendaftaran untuk domain dari cache data yang dicuri yang berhasil dipulihkan NetWitness mendapatkan alamat e-mail yang berhubungan dengan aktivitas perekrutan "money-mule". Kontak pendaftar beralamat di Virginia.

Money-mule adalah orang-orang yang sudah terbiasa (seringkali tanpa sepengetahuan mereka) dengan cybercriminals untuk menerima dan mencuci uang curian.

0 komentar:

Posting Komentar