Pod koniec lutego 2013 roku Naukowa i Akademicka Sieć Komputerowa i działający w jej strukturach CERT Polska przejęły kontrolę nad 3 domenami używanymi do zarządzania jedną z instancji botnetu Citadel oznaczoną plitfi. Botnet ten był skierowany głównie na polskich użytkowników. Cały ruch skierowany do serwerów C&C botnetu został przekierowany do serwera kontrolowanego przez CERT Polska.

Dzisiaj publikujemy pełen raport dotyczący przejęcia tego botnetu. W raporcie znajdują się, między innymi, następujące informacje:

• Botnet używany był do wyłudzania pieniędzy z kont bankowych za pomocą fałszywych komunikatów o rzekomo błędnie zaksięgowanym przelewie.
• 11 730 różnych maszyn łączyło się z botnetem.
• Ponad 77% wszystkich połączeń do serwera sinkhole’a pochodziło z Polski.
• Prawie cały ruch do serwera sinkhole pochodził z Europy bądź Japonii.
• Boty Citadela znajdowały się na systemach operacyjnych od Windows XP aż do Windows 7.
• Botnet korzystał z mechanizmu serwerów proxy, aby ukryć prawdziwe serwery C&C.

Pełen tekst raportu można znaleźć tutaj lub w dziale „Raporty”.