Windigo to ogromny botnet działający praktycznie od 2011 roku. Na przestrzeni lat cyberprzestępcy zdołali zainfekować i wcielić do niego kilkadziesiąt tysięcy serwerów na całym świecie. Każdego dnia był on odpowiedzialny za wysyłkę przynajmniej 35 mln wiadomości spamowych.
Pierwszego wykrycia botnetu dokonano w 2014 roku, czyli trzy lata od jego powstania. Eksperci z ESET ustalili wtedy, że za sprawą wielu specjalnie zaprojektowanych zagrożeń komputerowych zainfekowano kilkadziesiąt tysięcy komputerów.
Windigo przekierowywał swoje ofiary na niechciane i złośliwe treści, serwują między innymi zainfekowane oprogramowanie dla komputerów z systemem Windows. Osobom korzystającym z macOS wyświetlano reklamy stron randkowych, natomiast użytkownicy iPhone’ów widzieli treści pornograficzne.
Pojmanie twórcy
W rozgryzieniu botnetu duże znaczenie miały działania podjęte przez firmę ESET. Producent oprogramowania antywirusowego przekazał istotne informacje na temat botnetu FBI. Dzięki temu funkcjonariusze rozpoczęli monitoring dochodów generowanych przez fałszywe sieci reklamowe. Pomogło to zidentyfikować Rosjanina Maxima Senakha, który pod fikcyjnymi tożsamościami zarządzał transakcjami pieniężnymi związanymi z Windigo.
Mężczyznę już w sierpniu 2015 roku aresztowano na granicy z Finlandią. Rok później nastąpiła jego ekstradycja do Stanów Zjednoczonych. Senakh początkowo nie przyznawał się do postawionych mu zarzutów, jednak ostatecznie zdecydował się współpracować w zamian za obniżony wymiar kary. Finalnie Rosjanin został skazany na 46 miesięcy więzienia federalnego w stanie Minnesota.
Windigo zainfekował kilkadziesiąt tysięcy urządzeń na całym świecieCzy botnet nadal jest groźny?
Twórca Windigo siedzi w więzieniu, jednak czy oznacza to, że botnet został unieszkodliwiony? Zaraz po aresztowaniu zauważono spadek ruchu przekierowywanego przez zagrożenie Cdorked, które jest złośliwym komponentem botnetu.
Nie oznacza to jednak, że botnet całkowicie przeszedł w fazę spoczynku. Eksperci z ESET odnotowują nowe warianty zagrożenia Win32/Glupteba, które są ściśle powiązane z operacją Windigo. Może to zatem świadczyć, że za jakiś czas botnet zostanie reaktywowany.
Źródło: ESET