Все, что вам нужно знать о ботнете 3ve

Опубликовано: 2021-07-08

Современным рекламодателям приходится иметь дело не только с конверсией потенциальных клиентов, поскольку рост ботнетов и мошенничества с кликами продолжает влиять на успех рекламных кампаний.

Ботнеты теперь несут ответственность за большое количество мошеннических кликов. А в последние годы ботнет 3ve был одной из самых сложных операций ботнета, которые когда-либо видели.

Он работал с 2013 по 2018 год и заразил более 1,7 миллиона компьютеров по всему миру, вызвав хаос и обойдясь рекламодателям в миллионы.

Но как это стало такой глобальной дилеммой? Мы здесь, чтобы подробно рассказать о его взлетах и ​​падениях, а также выделить проблемы, которые создают бот-сети, и дать советы о том, как защитить свой бизнес.

Как был открыт 3ve

3ve тепловая карта

Ботнет, объявленный как eve, работал с 2013 по 2018 год, но был обнаружен только в 2016 году специалистом по кибербезопасности HUMAN (ранее White Ops).

Фирма сотрудничала с Google и ФБР в борьбе с мошенничеством при участии таких организаций, как Adobe, McAfee и Amazon.

Компания 3ve использовала пакеты вредоносных программ Boaxxe / Miuref и Kovter для заражения компьютеров спамом и зараженными вложениями электронной почты.

Он был впервые обнаружен ЧЕЛОВЕКОМ, когда сеть Methbot находилась под следствием. Изначально 3ve выглядела как стандартная ферма ботов, в которой не было ничего уникального.

Но в 2017 году его активность выросла, и он ежедневно генерировал миллиарды запросов ставок на рекламу. Ежедневно это составляло от 3 до 12 миллиардов.

Обнаруженная вредоносная программа использовала анти-криминалистику - тактику уклонения, при которой вредоносная программа выполняет сканирование процессов, оборудования, имени пользователя и IP-адреса ПК. Все, что сделает его идентифицируемым.

Обойдя эту проблему, Google и HUMAN постепенно раскрыли весь масштаб операции 3ve. Как объяснил Google в своем техническом документе The Hunt for 3ve :

«Один из способов остановить работу ботов - занести в черный список все их известные IP-адреса. Однако из-за агрессивности операции, а также ее способности быстро получать новые IP-адреса, мы поняли, что черный список только временно прервет деятельность 3ve. Чтобы отключить его навсегда, нам нужно было понять, как 3ve была структурирована и организована, мы должны были убедиться, что операторы думают, что они остаются незамеченными, чтобы наблюдать за ними и применять наши знания в будущих усилиях по обеспечению безопасности, и нам нужно было расширить наши усилия. помимо Google и [ЧЕЛОВЕКА] ».

Google начал создавать партнерскую инфраструктуру, чтобы положить конец 3ve. Но при этом поисковый гигант должен был убедиться, что ботнет считает, что он все еще не обнаружен.

За этим последовало грандиозное мероприятие с участием крупных организаций, работающих в тандеме, чтобы уничтожить, возможно, самый изощренный ботнет в истории.

3-я операция

3ve операция

Интересно, что у 3ve использовались поддельные и некачественные сайты, которые были участниками Google AdSense. Затем он продавал рекламодателям поддельный премиальный трафик.

Он мог успешно подделывать домены высокопоставленных и престижных издателей, не оставляя рекламодателям ничего лучше, чем они были обмануты.

Способность 3ve заразить десятки тысяч компьютеров позволила ему создавать массу незаконных кликов по рекламе, и именно на этом операция приносила прибыль.

Как отмечает Google в техническом документе «Охота за 3vE»:

«Операторы 3ve приложили все усилия, чтобы не допустить, чтобы рекламные сети заметили их незаконную деятельность. Вот почему, например, вредоносное ПО 3ve полностью выполняется только в странах, где обычные пользователи Интернета, вероятно, будут просматривать те же самые премиальные сайты, которые 3ve подделывает, включая США, Канаду и Великобританию. Популяция жертв 3ve показана на рисунке ниже ».

Чем успешнее это оказывалось, тем масштабнее становилась операция.

Его операторы также могли постоянно уклоняться от обнаружения, маскируя ботов 3ve. Таким образом, даже после того, как фрагменты его трафика были занесены в черный список, они могли рематериализоваться где-то еще.

Операторы 3ve использовали различные тактики, чтобы остаться незамеченными. Включая уклонение от тегов, имитацию поведения человека перед кликом по рекламе и быструю регенерацию домашних IP-адресов.

На пике популярности ботнет 3ve:

  • Создано более 3 миллиардов ежедневных запросов ставок
  • Взломано 1 миллион IP-адресов
  • Заражено более 700 000 ПК.
  • Подделанные 10 000+ веб-сайтов

Как 3ve был снят

fbi takedown

Google, HUMAN и ФБР поняли, что операцию необходимо прекратить навсегда, чтобы она больше не могла развиваться.

В общей сложности 15 крупных участников отрасли работали с Google, Human и Центром жалоб на интернет-преступления ФБР, чтобы помешать операции.

Список организаций, которые помогли закрыть 3ve, включает:

  • Adobe
  • Торговый стол
  • Амазонка
  • Клятва
  • Malwarebytes
  • ESET
  • Доказательство
  • Symantec
  • F-Secure
  • McAfee
  • Trend Micro
  • Департамент внутренней безопасности

Имея систему коллективного интеллекта, рабочая группа в течение нескольких месяцев наблюдала за 3ve в действии, чтобы определить, как он работает.

Объединенные организации смогли провести глубокое исследование 3ve, чтобы составить карту своей инфраструктуры, стратегий монетизации и основных компонентов.

Например, McAfee и другие специалисты по антивирусам работали над тем, чтобы понять, каким вредоносным ПО 3ve заражало компьютеры.

Это привело к скоординированному техническому демонтажу инфраструктуры, в результате чего операторы не смогли восстановить 3ve.

В течение 18 часов Google сообщил о трафике запросов ставок 3ve, близком к 0%.

По итогам расследования Министерство юстиции США вынесло 13 обвинительных заключений против 8 человек. 6 из этих мошенников - из России, еще 2 - из Казахстана.

В пресс-релизе Министерства юстиции, выпущенном в ноябре 2018 г., восемь обвиняемых были предъявлены обвинения , в нем были раскрыты имена лиц и сказано:

«Также сегодня в федеральном суде Бруклина были обнародованы ордера на арест, разрешающие ФБР взять под контроль 31 интернет-домен, и ордера на обыск, разрешающие ФБР получать информацию с 89 компьютерных серверов, которые были частью инфраструктуры ботнетов, занимающихся цифровой рекламой. мошенничество. ФБР, работая с партнерами из частного сектора, перенаправляло интернет-трафик, идущий к доменам (действие, известное как «синкхолинг»), чтобы разрушить и демонтировать эти ботнеты ».

Обвинения были предъявлены за потерю десятков миллионов долларов в результате мошенничества с цифровой рекламой.

Результаты остановки 3ve, безусловно, послужили тревожным сигналом для рекламной и технической индустрии, подчеркнув, почему так важно оставаться активными в борьбе с онлайн-мошенниками.

Защитите свою рекламу от следующих трех лет

Защити себя

К сожалению, хотя 3ve, возможно, были отключены, существует еще множество других активных ботнетов.

И каждый рекламодатель, который запускает платную поисковую, медийную или видеорекламу, рискует потерять деньги из-за этих схем рекламного мошенничества.

В 2019 году Spamhaus (организация по анализу угроз) выпустила отчет об угрозах ботнетов. Его результаты показали резкое увеличение количества доменных имен, зарегистрированных для хост-ботнетов. По статистике 2017 года рост составил 100%.

И, как показывает наш Глобальный отчет о мошенничестве с кликами за 2021 год , ботнеты остаются самой разрушительной формой мошенничества с кликами.

Это очень похоже на игру в кошки-мышки. Новые ботнеты обнаруживаются постоянно. Например, в марте 2021 года был обнаружен ботнет для Windows, который, как выяснилось, увеличивался в размерах.

Вредоносная программа Purple Fox , которая использует фишинговые электронные письма и комплекты эксплойтов для заражения компьютеров, быстро распространяется с одного компьютера на другой. Вредоносная программа нацелена на подключенные к Интернету компьютеры с Windows, использующие слабые пароли.

Чем больше рекламы вы показываете в контекстно-медийной сети Google, чем больше сайтов вы рекламируете, и чем больше денег вы тратите, тем выше вероятность того, что вы станете жертвой мошенничества.

Операторы ботнетов стараются сделать своих ботов максимально неотличимыми от человеческого поведения.

Из-за этого очень сложно даже обнаружить незаконные действия в ваших рекламных кампаниях, не говоря уже о том, чтобы предотвратить их.

Важно быть бдительным. А также для защиты ваших рекламных кампаний и бизнеса с помощью последних доступных данных. Это может дать вам серьезную фору в блокировке мошенников.

Уроки, извлеченные из 3ve

К сожалению, ботнеты никуда не денутся, как и 3ve доказали, насколько изощренными становятся операции по уклонению от обнаружения.

Чтобы вывести сеть из строя, потребовались целые тысячи людей из крупных мировых игроков. Объединенная сила Google, ЧЕЛОВЕКА, ФБР и многих других, чтобы остановить вредоносное ПО, распространяющее действия нечеловеческих роботов.

Уроки, извлеченные из 3ve, помогли в борьбе с мошенниками и обязательно помогут в будущих расследованиях.

Но вы также можете защитить свои рекламные кампании, приняв упреждающие меры. У нас есть бесплатный список исключений из 60 000+ для приложений, каналов и веб-сайтов, которые не позволяют показывать вашу рекламу на подозрительных и неэффективных веб-сайтах.

Добавьте это в свой аккаунт Google Рекламы, и вы сразу же исключите мошенников и улучшите качество своего трафика.

Это помогает защитить имидж вашего бренда, избежать нерелевантных веб-сайтов, остановить незаконные клики и повысить рентабельность инвестиций.

Загрузите полный список исключений ниже.

Скачать список исключений