Eset спільно з Microsoft та правоохоронними структурами, включаючи ФБР, Інтерпол та Європол, знешкодила мережу ботнетів Gamarue (Andromeda), що діяла з 2011 року.

Операція стартувала 29 листопада 2017 року. У рамках проекту ліквідації було знешкоджено мережу із 464 окремих ботнетів, що заражала понад 1,1 млн комп'ютерів щомісяця. Нейтралізована інфраструктура ботнету – 1214 доменів та IP-адрес, які використовували оператори як сервери управління та контролю (С&С).

Eset взяла на себе технічні аспекти підготовки операції. Спільно з Microsoft компанія виконала аналіз загрози, надала статистичні дані та інформацію про інфраструктуру Gamarue. Крім того, Eset поділилася результатами багаторічних спостережень за ботнетом та шкідливими програмами, які поширювалися за його допомогою.

Сімейство шкідливих програм Gamarue (Wauchos, згідно з класифікацією Eset) створено у вересні 2011 року і продавалося в дарквебі під назвою Andromeda bot. Бот мав попит, тому на момент ліквідації у світі діяли сотні незалежних ботнетів. Оператори Gamarue використовували для його поширення різні способи: соціальні мережі, месенджери, носії, спам-розсилки, набори експлойтів.

Сімейство Gamarue призначене для крадіжки облікових даних, завантаження та виконання в заражених системах інших шкідливих програм. Але оператори можуть доопрацьовувати бот, впроваджуючи додаткові модулі. Так, один із модулів дозволяє атакуючим перехоплювати дані, що вводяться користувачами у веб-форми (формграбер), інший – підключатися до скомпрометованої системи та віддалено керувати нею.

У рамках підготовки до ліквідації Gamarue фахівці Eset збирали інформацію про ботнетах за допомогою телеметричного сервісу Eset Threat Intelligence. Їм вдалося створити бот, який встановлював з'єднання з керуючими серверами атакуючих. З його допомогою фахівці Eset та Microsoft стежили за Gamarue протягом півтора року, ідентифікували сервери та інші шкідливі програми, які завантажуються в системи жертв. За підсумками цієї роботи Eset і Microsoft склали список усіх доменів, що використовуються операторами Gamarue як керуючі сервери.

У минулому Wauchos лідирував за кількістю атак, відбитих продуктами Eset, тому, коли Microsoft запропонували взяти участь в операції та захистити користувачів, рішення було очевидним. Загроза існувала і вдосконалювалася протягом кількох років, що ускладнювало моніторинг. Тим не менш, завдяки Eset Threat Intelligence, вдалося відстежувати зміни в поведінці малварі і зробити свій внесок у операцію з ліквідації ботнету».

Eset рекомендує користувачам, які побоюються зараження, використовувати безкоштовний інструмент Eset Online Scanner, який видаляє всі виявлені погрози, включаючи Gamarue.