Ботнет известный под названием Andromeda (он же Gamarue и Wauchos) закрывали буквально всем миром. В совместной операции приняли участие ФБР, Интерпол, киберподразделение Европола (EC3), Евроюст, Объединенная целевая группа по борьбе с киберпреступностью (J-CAT), а также правоохранительные органы Германии. Частный сектор, в свою очередь, представляли специалисты компаний Microsoft, ESET, Registrar of Last Resort, а также ICANN, FKIE, BSI и многие другие.
Ботнет Andromeda впервые был замечен еще в 2011 году, когда в даркнете начали продавать малварь названием Andromeda bot. В последующие годы ботнет продолжал развиваться и расти, о чем свидетельствуют многочисленные отчеты ИБ-специалистов, к примеру, Microsoft (2015), G Data (2016), Fortinet (2016). Операторы Andromeda использовали для его распространения разные способы: социальные сети, мессенджеры, съемные носители, спам-рассылки, наборы эксплоитов.
Владельцы зарабатывали на Andromeda всеми возможными способами. Ботнет использовался для кражи учетных данных, а также для загрузки и выполнения в зараженных системах других вредоносных программ. По данным Microsoft, только в последние полгода ботнет распространял более 80 различных семейств малвари.
Также операторы Andromeda постоянно дорабатывали бот, внедряя в него дополнительные модули. К примеру, эксперты ESET пишут, что один из модулей позволял атакующим перехватывать данные, вводимые пользователями в веб-формы (формграббер), а другой – подключаться к скомпрометированной системе и удаленно управлять ей.
Масштабная операция по ликвидации Andromeda стартовала 29 ноября 2017 года. Совместными усилиями специалистов была обезврежена сеть из 464 отдельных ботнетов, заражавшая более 1,1 млн компьютеров ежемесячно. Именно за счет такой «раздробленной» структуры власти безуспешно боролись с ботнетом много лет, но не могли прекратить его деятельность окончательно. Теперь же удалось нейтрализовать всю инфраструктуру ботнета – 1214 доменов и IP-адресов, которые использовались операторами в качестве управляющих серверов.
Участники операции сообщают, что дата ликвидации была выбрана неслучайно. Дело в том, что ровно год назад, в декабре 2016 года, та же коалиция правоохранителей и экспертов частного сектора провела операцию Avalanche. Как теперь сообщают Европол и Shadow Foundation, год назад в отчетах о ликвидации крупной киберпреступной сети намеренно не упоминали Andromeda, хотя ботнет хостился в сети Avalanche. Эксперты умолчали об этом факте, чтобы получить возможность понаблюдать за ботнетом, собрать больше данных, а затем ударить наверняка.
Собранных данных хватило, чтобы власти Беларуси смогли арестовать предполагаемого создателя Andromeda. Имя подозреваемого не раскрывается, но правоохранительные органы сообщают, что это житель Гомельской области 1983 года рождения. Следственный комитет республики Беларусь пишет, что «сотрудники ФБР США осуществили закупку у белоруса вредоносного программного обеспечения. Исходный код данной программы был проверен специалистами в области информационной безопасности, которые дали заключение о его вредоносности».
Чуть больше о личности потенциального главы Andromeda рассказали аналитики компании Recorded Future. Они считают, что в сети он был известен под псевдонимом Ar3s.