Антивирусная компания ESET отчиталась о победе над ботнетом Mumblehard, который объединял порядка четырёх тысяч серверов на базе Linux. В феврале её специалистам удалось захватить командный сервер ботнета и прекратить его работу.
Ботнет Mumblehard был обнаружен в прошлом апреле, но, по-видимому, появился несколькими месяцами ранее. Его основной жертвой были веб-серверы на базе Linux, которые ботнет использовал для рассылки спама.
В октябре 2015 года специалисты ESET при помощи киберполиции Украины и компании CyS Centrum сумели получить доступ к командному серверу ботнета. Это позволило им лучше понять, как устроен Mumblehard.
Среди прочего, они обнаружили, что командный сервер следит за содержимым чёрного списка CBL, куда попадают адреса спамеров. Заметив в CBL машины, поражённые ботнетом, он отправлял операторам чёрного списка запрос на удаление их адресов. Обойти каптчу, которой защищена форма запроса, помогало распознавание образов.
До захвата командного сервера Mumblehard в ESET полагали, что ботнет распространяется через непропатченные копии WordPress или Joomla, однако эта версия не подтвердилась. Скрипты, которые обнаружили специалисты компании, могли взаимодействовать лишь с уже заражёнными машинами. Это может свидетельствовать о том, что создатели Mumblehard приобрели основу ботнета у другой преступной группы.
В феврале 2016 года ESET захватил командный сервер ботнета и остановил рассылку спама. Теперь компания записывает обращения к нему и передаёт собранные данные CERT-Bund, одной из Компьютерных групп реагирования на чрезвычайные ситуации, действующих в Германии. Размеры ботнета после захвата медленно, но неуклонно уменьшаются.
