Эксперты проанализировали вредонос, создали инструменты для его выявления и разработали методы его устранения.

Министерство юстиции США объявило о ликвидации ботнета Cyclops Blink, которым руководила предположительно связанная со спецслужбами РФ APT-группа Sandworm.

«Министерство юстиции США сообщает о проведении в марте 2022 года санкционированной судом операции по ликвидации двухъярусного ботнета из тысяч зараженных сетевых устройств по всему миру, находившихся под контролем злоумышленника, известного исследователям безопасности как Sandworm», — сообщается в пресс-релизе Минюста.

В ходе операции специалисты скопировали и удалили вредоносное ПО с уязвимых подключенных к интернету межсетевых экранов, использовавшихся Sandworm в качестве C&C-серверов для ботнета, предварительно уведомив об этом их владельцев.

Совместно с экспертами из WatchGuard правоохранители проанализировали вредонос, создали инструменты для его выявления и разработали методы его устранения. Однако использовавшиеся в качестве ботов уязвимые межсетевые экраны WatchGuard Firebox по-прежнему представляют угрозу и могут подвергаться дальнейшим атакам, если их операторы не примут рекомендуемые производителем меры безопасности.

В феврале нынешнего года правоохранительные органы США и Великобритании опубликовали совместное уведомление, предупреждающее о новом вредоносном ПО Cyclops Blink, связанном с Sandworm.

APT-группа Sandworm (другие названия BlackEnergy и TeleBots) активна с 2000 года. Помимо прочего, на ней лежит ответственность за создание и распространение вымогательского ПО NotPetya, атаковавшего сотни компаний по всему миру в июне 2017 года.

Источник: securitylab