Cercetătorii Kaspersky Lab au publicat un raport despre activitatea botnet-urilor în prima jumătatea a anului 2018, în urma analizării a peste 150 de familii malware și a diferitelor modificări suferite de acestea, care au circulat prin 60.000 de botnet-uri, în toată lumea. Unul dintre cele mai interesante lucruri scoase la iveală a fost cererea tot mai mare de malware multifuncțional, care nu este creat pentru un scop anume, dar este suficient de flexibil pentru a îndeplini aproape orice sarcină.
Botnet-urile – rețele de dispozitive compromise folosite în scop infracțional – sunt valorificate de infractori pentru a răspândi malware și a facilita atacurile DDoS și de tip spam. Folosind tehnologia Kaspersky Lab Botnet Tracking, cercetătorii companiei au monitorizat continuu activitatea botnet-urilor pentru a preveni atacuri sau pentru a distruge noile tipuri de troieni bancari dintr-un stadiu incipient. Tehnologia funcționează prin simularea unui dispozitiv compromis și interceptarea comenzilor primite de la atacatorii care folosesc botnet-urile pentru a distribui malware. Acest lucru le oferă cercetătorilor mostre valoroase de malware și statistici.
Pe baza rezultatelor unei cercetări recente, în prima jumătate a anului 2018, distribuirea prin intermediul botnet-urilor a malware-ului unifuncțional a scăzut semnificativ, în comparație cu cea de-a doua jumătate a anului 2017. De exemplu, în H2 2017, 22,46% dintre toate fișierele unice infectate, distribuite prin botnet-uri și monitorizate de Kaspersky Lab, au fost troieni bancari, în timp ce în prima jumătate a anului 2018, proporția de viruși bancari a scăzut cu 9,21 puncte procentuale – la 13,25% dintre toate fișierele infectate înregistrate de serviciul Botnet Tracking.
Și numărul boților de spam au scăzut semnificativ – un alt tip de software unifuncțional, distribuit prin botnet-uri – de la 18,93% în H2 2017, la 12,23% în H1 2018. De asemenea, boții DDoS, care îndeplinesc tot o funcție unică, au înregistrat o scădere - de la 2,66% în H2 2017, la 1,99%, în H2 2018.
În același timp, cea mai clară creștere a fost înregistrată de malware-ul versatil: mai ales de cel de tip RAT (Remote Access Tools), care oferă numeroase posibilități de a exploata PC-urile infectate. Din H1 2017, fișierele RAT aproape și-au dublat procentul din totalul de malware distribuit de botnet-uri, de la 6,55%, la 12,22%. Nirat, DarkComet și Nanocore au fost cele mai răspândite instrumente de tip RAT. Datorită structurii lor relativ simple, cele trei backdoor-uri pot fi modificate chiar și de un atacator fără experiență. Acest lucru face posibil ca malware-ul să fie adaptat pentru distribuirea într-o anumită regiune.
Troienii, care sunt folosiți și ei în numeroase scopuri, nu au progresat la fel de mult ca instrumentele RAT, dar, spre deosebire de malware-ul unifuncțional, procentul lor a crescut de la 32,89% în H2 2017, la 34,25% în H1 2018, dintre toate fișierele detectate. Exact ca backdoor-urile, o familie de troieni poate fi modificată și controlată de multiple servere de comandă și control (C&C), fiecare având scopuri diferite – de exemplu, spionaj cibernetic sau furtul datelor de autentificare.
„Motivul pentru care instrumentele RAT și alt malware multifuncțional sunt în top în materie de botnet-uri este evident: este destul de costisitor să deții un botnet, iar pentru a face profit infractorii trebuie să folosească toate ocaziile de a valorifica malware-ul deținut”, spune Alexander Eremin, security expert la Kaspersky Lab.
Eremin mai spune că un botnet construit din malware multifuncțional își poate schimba funcțiile relativ repede și trece de la mesaje spam, la atacuri DDoS sau la răspândirea de troieni bancari. Această capacitate îi permite deținătorului să schimbe diverse modele „active” de business, dar și să obțină un venit pasiv, închiriind botnet-ul altor infractori.
Singurul tip de programe malware unifuncționale care a avut o creștere impresionantă în cadrul botnet-urilor a fost cel de mining. Chiar dacă numărul de fișiere înregistrate nu se compară cu alte tipuri de malware foarte populare, procentul lor s-a dublat și se încadrează în tendința prevăzută de experții noștri.
Pentru a reduce riscul ca dispozitivele lor să intre într-un botnet, utilizatorii sunt sfătuiți:
- Faceți actualizările de soft pe PC pentru bug-urile descoperite, imediat ce sunt disponibile. Dispozitivele neactualizate pot fi folosite de infractorii cibernetici și conectate la un botnet.
- Nu descărcați soft piratat și nici o altă formă de conținut ilegal, pentru că acesta este folosit de multe ori pentru a distribui boți infectați.
- Folosiți o soluție de securitate, precum Kaspersky Internet Security, pentru a evita infectarea computerului cu orice tip de malware, inclusiv acela pentru crearea botnet-urilor.
Versiunea completă a raportului este disponibilă pe Securelist.com.