No dia 13 de outubro, agentes da lei americanos e britânicos tomaram medidas contra o famoso botnet DRIDEX, com o objetivo de parar as atividades da ameaça bancária online. O procurador dos EUA, David J. Hickton do Distrito Ocidental da Pennsylvania chamou a operação de “uma disrupção técnica e de uma pancada em uma das ameaças de malware mais perniciosa do mundo.”
A Agência Nacional do Crime, entretanto, chamou a operação de “parte de uma campanha prolongada e contínua visando múltiplas versões do Dridex e os cibercriminosos por trás dele, operando em partes do mundo difíceis de alcançar”.
Embora essas ações tenham atingido o DRIDEX, o malware está longe de estar morto. Após a derrubada do DRIDEX, estimamos que o número de usuários afetados caiu para 24% dos números anteriores à derrubada. Isso foi baseado no número de infecções do DRIDEX vistas no mundo real em dois períodos de pico, tanto imediatamente antes quanto imediatamente após a derrubada.
Olhando esses dados mais de perto, observamos que a distribuição de vítimas também mudou ligeiramente. Em particular, a porcentagem das vítimas dos EUA caiu significativamente, indo de quase 30% das vítimas no período logo antes da derrubada para menos de 14% imediatamente após.
Figura 1. Distribuição de vítimas, antes da derrubada
Figura 2. Distribuição de vítimas, após a derrubada
Porém, apesar do DRIDEX ter sido ferido nessa operação, nem todos os seus servidores foram tirados do ar. Servidores fora de alcance ou desconhecidos das agências da lei acima continuaram a funcionar. Além disso, apenas um membro da gangue do DRIDEX foi preso – um administrador de sistema chamado Andrey Ghinkul. Outros membros continuaram a solta e continuaram com suas atividades. Já vimos novas variantes implementadas sem grandes mudanças (além das mudanças para novos servidores C&C).
O DRIDEX usa um modelo de serviço que pode tê-lo ajudado a sobreviver a essa operação em particular. Ele foi criado como um botnet como um serviço (BaaS) – na verdade, foi construído de múltiplos botnets, cada um com diferentes arquivos de configuração. Além disso, ele tenta esconder seus rastros – usa uma arquitetura peer-to-peer (como o Gameover ZeuS) para ocultar seus servidores C&C e também múltiplas rotinas no endpoint para esconder sua atividade. Considerado em conjunto, isso torna o DRIDEX muito resiliente à disrupção.
Derrubadas como essas são eficazes para a interrupção das atividades de operações de cibercrime a curto prazo, mas o sucesso a longo prazo nem sempre é garantido. Elas têm o efeito de remover as ameaças menos eficazes, permitindo que os cibercriminosos aprendam com seus erros. Prisões são necessárias para realmente parar a atividade do cibercrime.
O DRIDEX foi ferido, mas não está terminado como uma ameaça. Nós continuaremos a monitorar suas atividades para proteger nossos usuários e também fornecer quaisquer informações que coletarmos para as agências legais.
Análises adicionais de Anthony Joe Melgarejo e Michael Marcos
