O McAfee Labs, da Intel Security, informa que participou de forma decisiva na Operation Source (Frente de Operações), uma ação global conjunta cujos esforços desmantelaram com sucesso a rede de botnet polimórfico denominada como Beebone.
Ao propagar o worm que efetua downloads conhecido como W32/Worm-AAEH, o Beebone facilitou o download de uma variedade de malwares, incluindo os ladrões de senha ZBotbanking, Necurs e ZeroAccessrootkits, CutwailSpambots, antivírus falsos e ransomware. O W32/Worm-AAEH inclui a funcionalidade de worm para se propagar rapidamente em máquinas novas e contém uma rotina de atualização cíclica para ser substituído por versões mais recentes e aumentar a probabilidade de permanecer sem ser detectado pelo software antivírus. Durante seu pico, em julho e agosto de 2014, o W32/Worm-AAEH se atualizou com novas variantes até 35 vezes por dia.
A Intel Security tem conhecimento de mais de 5 milhões de amostras de AAEH exclusivas, distribuídas, principalmente, pelos EUA, Japão, Índia, Taiwan, Alemanha e Reino Unido.
Em um de seus picos operacionais, em setembro de 2014, mais de 100 mil infecções da botnet Beebone foram detectadas pela equipe do McAfee Labs. No último registro de taxas de infecção, em março de 2015, o McAfee Labs detectou 12 mil infecções ativas. Como esta quantidade inclui apenas a telemetria da Intel Security, suspeita-se que o número seja muito maior.
A operação foi liderada pela J-CAT (Joint Cyber Action Taskforce), localizada na sede da Europool, uma cooperação entre EC3, a maioria dos Estados-Membros da União Europeia e parceiros de aplicação da lei em todo o mundo. A J-CAT é uma plataforma multilateral eficaz na luta contra a criminalidade cibernética que trabalha com entidades e universidades públicas e privadas em um nível operacional, a fim de identificar e mitigar as maiores ameaças virtuais em todo o mundo e apreender as pessoas responsáveis por elas.
A queda do AAEH é o resultado de uma estreita cooperação da operação da J-CAT liderada pelos holandeses, da Intel Security e de vários outros parceiros operacionais. A combinação de habilidades investigativas e técnicas, bem como compartilhamento de informações e experiências, levaram à recente destruição desta botnet. "Esta operação é mais uma prova de que apenas uma resposta combinada é capaz de desacelerar a crescente ameaça do cibercrime", comenta Raj Samani, CTO da Intel Security.
Como o malware bloqueia as conexões às empresas de antivírus, aqueles infectados podem ter dificuldade para seguir os links e fazer o download das ferramentas de remoção. Por isso, a equipe do ShadowServer desenvolveu uma página da Web onde disponibiliza essas ferramentas de segurança que podem ser baixadas diretamente para a remoção do Beebone.
