Мониторинг инфраструктуры киберпреступников и ботнетов

Международное Агентство по Борьбе с Киберпреступностью и аналитический отдел крупной компании по кибербезопасности.

Киберпреступные группировки постоянно меняют свою инфраструктуру, используют новые IP-адреса для Command & Control (C2) серверов, хостинга фишинговых сайтов и развертывания ботнетов. Отслеживание этой динамичной инфраструктуры с помощью традиционных методов (статические черные списки, медленное ручное сканирование) было неэффективным. Цель — оперативно выявлять новые элементы преступных сетей, чтобы нейтрализовать их до того, как они нанесут значительный ущерб.

Клиент интегрировал ScaniteX в свои процессы Threat Intelligence. Используя возможность ScaniteX по глобальному сканированию в реальном времени, команда постоянно искала специфические признаки: уникальные баннеры, характерные версии ПО, нестандартные открытые порты, которые часто ассоциируются с известными инструментами злоумышленников (например, кастомные C2-протоколы, специфические конфигурации веб-серверов для фишинга).

• Оперативное обнаружение: ScaniteX позволил оперативно обнаруживать новые C2-серверы и фишинговые ресурсы в течение минут после их появления в сети, что увеличило скорость выявления на 70% по сравнению с предыдущими методами.
• Точное географическое отслеживание: Было обеспечено точное географическое определение источников атак и местоположения критических узлов ботнетов, что крайне важно для международных операций.
• Эффективное нейтрализация: Полученные данные позволили правоохранительным органам и специалистам по реагированию на инциденты проводить более успешные операции по нейтрализации преступной инфраструктуры, снижая время ее активного функционирования.
• Проактивная защита: Информация, собранная ScaniteX, использовалась для обновления систем защиты, позволяя блокировать доступ к вредоносным ресурсам еще до того, как они успевали распространиться.