Il n'y a pas eu d'interpellations de cybercriminels mais les autorités européennes et américaines célèbrent le démantèlement du botnet Beebone ou autrement connu en tant que AAEH. L'opération a été menée le 8 avril avec la collaboration d'Intel Security, Kaspersky Lab et Shadowserver.
Tous les noms de domaine et adresses IP utilisés pour la commande et le contrôle du réseau d'ordinateurs infectés par Beebone ont été saisis. Un centre de commande et contrôle sain a été mis en place afin d'empêcher les machines infectées de télécharger des mises à jour de malwares ou participer à leur insu à diverses activités cybercriminelles.
Le botnet n'était pas d'une taille particulièrement impressionnante puisque les derniers chiffres font état de 12 000 ordinateurs Windows infectés. En septembre 2014, Intel Security (McAfee) avait détecté plus de 100 000 infections de systèmes dans 195 pays mais majoritairement aux États-Unis.
Europol souligne par contre une menace très sophistiquée. Au cœur de l'infection, un malware de type downloader qui télécharge et exécute insidieusement d'autres logiciels malveillants. Parmi ces derniers, quelques noms bien connus tels que le voleur de mots de passe bancaires ZBot ou le rootkit ZeroAccess. Sans compter également de faux antivirus et des ransomwares.
La fondation Shadowserver présente plutôt Beebone (ou AAEH) comme un ver informatique polymorphe en raison d'une fonctionnalité lui permettant de se propager rapidement sur de nouvelles machines et une routine de mise à jour cyclique pour se remplacer par des versions plus récentes. De quoi sérieusement compliquer la tâche des antivirus.
Et cette menace n'y est pas allé avec le dos de la cuillère. Il existe actuellement plus de 5 millions d'échantillons uniques de W32/Worm-AAEH.
Selon un bulletin d'alerte émis par l'US-CERT, les autres petits noms de Beebone ou AAEH sont VObfus, VBObfus, Changeup. Le nuisible se propage le plus souvent via les réseaux, disques amovibles (dont USB) et par le biais de fichiers d'archive ZIP et RAR.
Si l'annihilation du centre de commande et contrôle malveillant du botnet est une chose, la désinfection des ordinateurs en est une autre. Shadowserver fournit une liste d'outils de désinfection. Des copies locales si jamais Beebone bloque les connexions à des sites d'éditeurs d'antivirus connus.
