В 2007 году никто не ожидал, что ZeuS окажет такое серьезное влияние на цифровой мир. Но спустя два года Zbot (еще одно имя, под которым он известен) стал важной вехой в истории кибер-безопасности. Заразив в 2009 году свыше 3,6 миллионов компьютеров, ZeuS скомпрометировал свыше 74000 FTP-аккаунтов в таких важных сетях, как NASA, ABC, Oracle, Cisco, Amazon и Bank of America. Он сумел также украсть и заблокировать информацию в Министерстве транспорта США, а также других государственных учреждениях. Его влияние было крайне негативным, а меры по борьбе с ним оказались достаточно жесткими и сложными. На текущий момент ZeuS все еще представляет угрозу.

Что такое ZeuS и что он делает?

Zbot – это классический троян во многих отношениях: как правило, он заражает с помощью фишинговых методов или техник «попутной загрузки». В основном, программное обеспечение, разработанное для заражения систем с Windows, попадало на компьютеры в рамках добровольных, но непреднамеренных загрузок, через зараженные всплывающие окна или почтовые вложения. После того как он заражал компьютер, этот троян, в зависимости от своего варианта, действовал различными способами. В целом, ZeuS известен своим использованием при краже регистрационных данных, паролей и другой конфиденциальной информации с помощью различных техник: кейлоггинг, перехват форм с данными или даже шифрование.

Среди уязвимостей, эксплуатируемых этим трояном, следует назвать некоторые сбои в Microsoft ATL, различные проблемы, обнаруженные в элементах управления ActiveX или уязвимости в функциях, контролируемых с помощью JavaScript, а также многие другие. В свое время Zbot был вовремя обнаружен и идентифицирован, что позволило предотвратить его массовое распространение. Однако данный троян, предположительно созданный Евгением Богачевым, известным как “Slavik”, стал базой для мощного инструментария, который можно приобрести на «черном» рынке. Эти утилиты предлагают различные модули, с помощью которых можно разрабатывать и создавать новые вредоносные программы.

«Сыновья» ZeuS

Существуют тысячи вариантов Zbot. Некоторые, наподобие Gameover или более свежего Atmos, стали достаточно известны. Sphinx, Floki Bot и многие другие имеют в своем ядре те же принципы, что были заложены в ZeuS. Впрочем, им удалось оставаться незамеченными для различных средств безопасности. Gameover поставил под угрозу большую часть финансового сообщества, а Atmos, обнаруженный в 2015 году, был направлен на банки и финансовые операции, которые они совершают. Предупреждение от экспертов вполне понятно: ZeuS все еще здесь, просто он циркулирует под новыми именами и оттачивает новые «навыки». И он стал еще более опасным, чем раньше.

Как мы можем защитить себя?

Катастрофические последствия заражения эти трояном (или, точнее сказать, его вариантами) можно смягчить или вовсе предотвратить. Для этого мы должны предпринять несколько незамедлительных мер предосторожностей. Помимо использования современных и передовых решений информационной безопасности с функциями расширенной защиты, способных предотвращать распространение этого трояна в корпоративных сетях, рекомендуется принять во внимание следующие аспекты:

  • Отключите автозагрузку мультимедийных файлов, активируйте режим «только для чтения», а также избегайте открытого доступа между компьютерами в сети, если в этом нет острой необходимости.
  • При использовании корпоративной сети для совместной работы рекомендуется применять строгие политики в отношении защиты и паролей, ограничивающие доступ и права.
  • Избавьтесь от ненужных служб, обратив особое внимание на отключение ненужных служб.
  • Поддерживайте обновленное состояние всего ПО – это также верный путь для снижения уровня риска.
  • Если обнаружено заражение, немедленно изолируйте устройство.
  • Отключите другие нежелательные способы установления соединений, такие как Bluetooth.
  • Настройте электронную почту на автоматическую блокировку вложений, которые обычно уязвимы, например, .exe, .bat, .vbs, .pif или .scr, закрыв еще одну дверь для атак.

Благодаря дополнительному вниманию и обучению сотрудников, ZeuS станет небольшой и хорошо контролируемой угрозой.