Assim, e baseados nas nossas próprias estatísticas, será que no SophosLabs concordamos com esta afirmação?

 

Os esforços de desmantelamento ocorridos em Dezembro, centraram-se em torno dos servidores utilizados pelos vários plugins que o ZeroAccess transfere pela sua rede P2P.

Os endereços desses servidores também podem ser recolhidos de ficheiros transferidos por toda a rede, pelo que o modo mais óbvio de tornar a botnet minimamente útil seria fornecer endereços de novos servidores pela rede.

Contudo, como a equipa da Microsoft tinha conhecimento desta possibilidade, decidiu monitorizar a botnet por novos plugins. Assim que surgiram endereços de novos servidores, a Microsoft actuou de imediato em conjunto com as autoridades legais para tornarem os servidores inoperáveis.

A última versão de cada plugin partilhado na rede, contém a mensagem de rendição "White flag" (bandeira branca), que sugere que os autores desistiram de seguir este rumo. Os ficheiros de plugin contêm um recurso que inclui apenas o texto "WHITE FLAG", ou código para escrever a mensagem no depurador de kernel:

 

 

É possível observar pela data de cada um destes plugins, que assim que foi tomada a decisão de desistência de tentar reavivar a botnet, as novas versões foram assinadas e publicadas em sequência:

 

A botnet ZeroAccess sempre conseguiu manter uma dimensão bastante considerável, garantindo que enormes volumes de novos droppers fossem lançados na Internet diariamente.

As nossas avaliações demonstram que os autores do ZeroAccess deixaram de apresentar crescimento, ou de manter a dimensão da botnet à medida que o número de novos droppers foi diminuindo ao longo das últimas semanas.

 

Isto também é refletido no número de deteções que vemos em máquinas de clientes, já que as infeções do ZeroAccess são eliminadas e não voltam a ser ocupadas por novas infeções.

 

A botnet ZeroAccess recebeu indubitavelmente o golpe mais devastador em toda a sua existência. Parece que, pelo menos por enquanto, os autores da botnet desistiram, sem novos plugins distribuídos na rede P2P e sem novos droppers lançados na Internet.

Os autores ainda têm a capacidade de tentar a voltar reavivar a botnet, pois é possível partilharem novos ficheiros na rede, mas sem novos droppers a serem distribuídos a dimensão da botnet está a decrescer rapidamente.

Parece que a estratégia da Microsoft foi muito bem-sucedida contra o ZeroAccess, e de facto, foi uma das ações que sugerimos no nosso estudo publicado em 2012: The ZeroAccess Botnet: Mining and Fraud for Massive Financial Gain.

É possível que ainda venhamos a testemunhar detenções, mas se os responsáveis escaparem à sua captura, possivelmente o próximo passo na evolução do ZeroAccess será uma nova versão do protocolo P2P e talvez uma nova arquitetura de plugins, menos dependente de endereços de servidores fixos para operar.

Aproveitamos para recomendar a consulta do nosso artigo acerca do impacto da detenção dos autores do exploit kit Blackhole na segurança da Internet.

Encorajamo-lo ainda a leitura do Relatório Anual de Segurança 2014 da Sophos em Português, para compreender de forma mais aprofundada estas tendências de forma acessível para uma audiência vasta, e que inclui materiais relacionados com os temas abordados, como whitepapers e vídeos que o aumentarão a sua perceção.  Se preferir, conheça os principais destaques em vídeo.

Mantenha-se a par de outros artigos sobre segurança da Sophos seguindo-os no Facebook, Twitter e LinkedIn.