Ботнет Ponmocup с 2006 года инфицировал 15 млн. устройств

Гигантский ботнет скрывается на просторах глобальной сети с 2006 года. Согласно оценкам специалистов компании Fox-IT, число активных ботов в нём сейчас составляет около 500 тысяч, а всего за последние девять лет было заражено около 15 млн. устройств.

Ботнет называется Ponmocup (также известен под именами Vundo или Virtumonde) и впервые попал в поле зрения исследователей в 2006 году. Своего пика он достиг в июле 2011 года, когда в его состав входило не менее 2,4 млн. систем. Этот ботнет обеспечил себе место в истории как один из самых долгоживущих, прибыльных и эффективных.

Он затрагивает только компьютеры под управлением системы Windows, и за долгие годы вышло свыше 4000 вариантов ботов, плюс 25 плагинов, расширяющих функциональность этой сети. В число атак входит способность внедряться в процессы Windows, менять информацию в реестре, вести зашифрованное общение со своими командными серверами, загружать дополнительные модули.

Основным направлением деятельности ботнета является извлечение финансовой выгоды, и его владельцы получают прибыли, исчисляемые миллионами долларов. В пользу этого говорят сложная и дорогая инфраструктура, выделенные серверы для разного типа задач, группа операторов для поддержания их работы, сложность вредоносного ПО, избегающего обнаружения и анализа.

В Fox-IT считают, что ботнет управляется русскоязычными операторами, и большинство инструкций и программ написаны на русском языке. Также ботнет старается не включать в свой состав компьютеры с постсоветского пространства, чтобы избежать преследования местных органов противодействия киберпреступности. Как видно на карте, основная часть заражённых компьютеров располагаются в Западной Европе и Северной Америке.