Muitas pessoas ainda pensam que o malware é um software que interrompe completamente o funcionamento normal de PCs. Se o seu computador está trabalhando perfeitamente, significa que ele não está infectado, correto? Errado. O principal objetivo dos cibercriminosos não é apenas fazer um ataque por diversão, mas sim ganhar dinheiro com isso. Em muitos casos, o objetivo é completamente contrário ao comportamento do malware: o melhor é ser totalmente vísivel para os usuários.

Por exemplo, esse tipo de comportamento de “descrição” muitas vezes é típico das botnets. Normalmente, elas consistem em milhares de PCs, e se estamos falando sobre as grandes botnet, são centenas de milhares de PCs. Os proprietários desses computadores não tem nenhuma pista de que eles estão infectados. Tudo que eles podem ver é que o PC trabalha um pouco mais lento, o que não é incomum nos PCs em geral.

As botnets são projetadas para coletar dados pessoais, incluindo senhas, números de previdência social, detalhes do cartão de crédito, endereços e números de telefone. Estes dados geralmente são usados em crimes como roubo de identidade, vários tipos de fraude, spam e distribuição de outros tipos de malware. As botnets também podem ser usadas para lançar ataques em sites e redes.

Kaspersky along with Intel and ShadowServer help to bring down the Beebone botnet – http://t.co/xCOKx49m7B — Kaspersky Lab (@kaspersky) April 9, 2015

Isto sempre leva a um esforço de muitas partes que colaboram para interromper uma grande botnet. Um exemplo recente é a botnet Simda, que acreditamos ter infectado mais de 770 mil computadores em mais de 190 países. Os países mais afetados são os Estados Unidos, Reino Unidos, Turquia, Canadá e Rússia.

A Simda é, como eu posso dizer, uma “botnet de vendas” usada para distribuir softwares ilícitos e diferentes tipos de malware, incluindo aqueles que são capazes de roubar credenciais financeiras. Os criadores desses programas maliciosos específicos são clientes dos proprietários da Simda e simplesmente pagam uma taxa por cada instalação. Em outras palavras, esta botnet tem o tipo da enorme cadeia de comércio de malware “manufaturados”.

A botnet está ativada há anos. Para tornar o malware mais efetivo, os proprietários da Simda estavam trabalhando bastante em novas versões, gerando e distribuindo-as frequentemente em poucas horas. Até o momento, a Kaspersky Lab coletou mais de 260 mil arquivos executáveis que pertencem a diferentes versões de malware da Simda.

O seu PC faz parte da enorme #botnet #Simda? Verifique agora! Tweet

Simultaneamente, a Kasperky derrubou os 14 servidores de comando e controle da botnet da Simda localizados na Holanda, Estados Unidos, Luxemburgo, Rússia e Polônia. Toda a ação ocorreu na última quinta-feira (09 de abril).

A lista das organizações envolvidas na operação ilustra perfeitamente a complexidade do problema: Interpol, Microsoft, Kaspersky Lab, Trend Micro, Cyber Defense Institute, FBI, Dutch National High-Tech Crime Unit (NHTCU), Police Grand-Ducale Section Nouvelles Technologies in Luxembourg e o Departamente Interior do ministério russo trabalharam juntos para neutralizar os cibercriminosos.

“As botnets são rede geograficamente distruídas e, geralmente, é uma tarefa desafiadora interromper coisas como essas. Por isso o esforço colaborativo de ambos os setores privado e público foi crucial aqui – todas as partes deram suas próprias e importantes contribuições na articulação do projeto”, disse Vitaly Kamluk, principal pequisador de segurança da Kaspersky Lab, e atualmente membro da Interpol. “Neste caso, o papel da Kaspersky Lab forneceu uma análise técnica do ataque, coletou telemétricas da botnet para a rede de segurança da Kaspersky e aconselhou estratégias para a interrupção”.

Como a investigação ainda continua, é muito cedo dizer quem está por trás da botnet Simda. O que é importante para nós, usários, é que, como resultado da operação de interrumpção, os servidores de comando e controle utilizados pelos cibercriminosos para se comunicar com as máquinas infectadas foram encerrados. Apesar da operação da botnet Simda ter sido suspensa, muitas pessoas cujo PCs foram infectados devem livrar-se deste malware o mais rápido possível.

Usando informações recuperadas a partir da botnet Simda e dos servidores de comando e controle da Kaspersky Lab, criamos uma página especial onde você pode checar se o endereço de IP do seu computador está na lista dos infectados.

Clique aqui para checar o seu PC!

Outra opção para se certificar se está tudo certo com o seu PC é usar a ferramenta gratuita Kaspersky Security Scan ou fazer o download da versão de teste – válido por três meses – da nossa solução mais poderosa, o Kaspersky Internet Security. É claro que todas as soluções da Kaspersky Lab detectam o malware Simda. Para saber mais informações sobre a botnet Simda confira o Securelist.

Tradução: Juliana Costa Santos Dias