Microsoft еще в феврале
подала в США судебный иск против неизвестных операторов ботнета и
потребовала прекратить деятельность 26 управляющих серверов, с которых
координировалась рассылка спама. Суд удовлетворил требование, о чем
стало известно в четверг. Немногим ранее сотрудники Microsoft вместе с
представителями американской полиции провели рейды в дата-центрах сразу
нескольких городов США и изъяли часть серверов управления. Через эти
компьютеры злоумышленники координировали спам-рассылки и организовывали
кибератаки против различных онлайновых ресурсов. Владельцы бот-сети
задержаны не были, поскольку их имена неизвестны.
Это уже не первый опыт подобной деятельности для Microsoft: год назад компания таким же образом прекратила функционирование менее крупного ботнета Waledac.
После отключения Rustock количество распространяемого в интернете спама сократилось вдвое, сообщают специалисты по инфобезопасности из компании M86 Security Labs. По их оценкам, в Rustock работало 815 тысяч зараженных компьютеров, каждый из которых ежедневно рассылал тысячи писем с сообщениями, рекламирующими контрафактные товары, фармацевтические препараты и прочую нелегальную продукцию. Согласно данным, которые приводит Microsoft, каждый компьютер сети Rustock рассылал десять тысяч спам-сообщений в час.
Некоторое сокращение количества спама после закрытия Rustock отметила и крупнейшая в мире антивирусная компания Symantec, хотя ее специалисты пока не уверены, что это приведет к существенному уменьшению потока непрошенной корреспонденции в долгосрочной перспективе.
«Ботнет Rustock, бесспорно, являлся крупным игроком в спам-бизнесе. По нашим оценкам и оценкам других экспертов, на его долю приходилась треть (по некоторым оценкам, даже до 40 % ) всего мирового объема спама», — сказал руководитель лаборатории облачных и контентных технологий «Лаборатории Касперского» Андрей Никишин. В «Лаборатории Касперского», впрочем, сообщили, что пока не могут подтвердить значительного сокращения объемов спама. «Однако небольшое снижение все же имело место», — добавил Никишин.
Эффект будет кратковременным
Ботнет
Rustock в несколько раз крупнее большинства других подобных сетей.
Обычно размер активной части ботнета — около 250 тысяч инфицированных
машин, и отключение Rustock — безусловно хорошая новость, однако эффект
от этого события, к сожалению, будет кратковременным, считает Илья
Сачков, генеральный директор компании Group-IB, занимающейся
расследованием компьютерных преступлений.
«Как показывает практика, снижение будет кратковременным, и пользователи интернета его не заметят. Например, в августе 2009 года отключение ботнета Cutwail привело к падению мировых объемов спама на 38%. Но уже через несколько дней количество нежелательной почты вернулось на прежний уровень», — сказал Сачков.
По его мнению, развитие подобного сценария можно спрогнозировать и в случае с Rustock. «Преступники перевезут и перенастроят серверы управления и восстановят работоспособность ботнета. В связи с этим можно ожидать, что объемы спама вернутся к прежним показателям в течение десяти дней», — добавил эксперт.
Этот
прогноз подтвердили и в «Лаборатории Касперского». «Закрытие любой
крупной бот-сети обычно означает моментальное снижение объема
спам-писем. Однако, как показывает практика, перераспределение
спамерских мощностей происходит довольно быстро, и количество спама
снова возвращается на прежний уровень, как мы наблюдали уже не раз», —
сказал Андрей Никишин.
По его словам, уменьшение количества спама
после закрытия крупных ботнетов — это явление временное и обычно длится
не более недели.
