Botnet: o que são bots e para que são usados?

Saiba o que são os Botnet Zombie

Você provavelmente já ouviu falar em botnet. A palavra soa familiar, mas talvez você não saiba realmente o que é, e a sua verdadeira finalidade.

O que é botnet?

Um botnet é uma rede de dispositivos conectados à Internet, chamados de bots, que estão infectados com software malicioso.

São controlados como um grupo, geralmente sem o conhecimento dos proprietários dos dispositivos.

Às vezes, eles são chamados de “exércitos de zumbis” e podem ser usados ​​para várias atividades de ciber criminosos, incluindo o envio de spam e a realização de ataques distribuídos de negação de serviço (DDoS).

Qualquer dispositivo conectado à Internet pode ser adicionado a uma botnet, incluindo laptops, computadores desktop, smartphones, players de DVR, roteadores sem fio e outros dispositivos de Internet de Coisas (IoT).

Como são controladas as Botnets

As botnets são controladas por servidores de comando e controle (C&C). Os servidores C&C são computadores sob controle de um hacker ou grupo de hackers que pode enviar comandos aos bots na botnet e também receber informações que os bots coletam. O controlador de uma botnet é conhecido como o herdeiro bot ou o mestre do bot.

O advento do IoT significa que agora há mais dispositivos do que nunca que podem ser transformados em bots. Adicionando esse perigo é o fato de que muitos desses dispositivos possuem:

• segurança inadequada;
• senhas padrão;
• firmware de difícil atualização.

Isso significa que há um enorme potencial para os botnets crescerem, crescerem e crescerem.

Quem controla os botnets?

Os botnets podem ser controlados pelo mestre do bot em algumas maneiras diferentes.

Tradicionalmente eram controladas em um ponto central

Tradicionalmente, os botnets eram controlados a partir de um único servidor C&C, e alguns ainda são. Nesse caso, os bots se conectam de volta a um único local predeterminado e aguardam comandos do servidor. O herdeiro de bot envia os comandos para o servidor, que os reencontra para a rede do bot. Os resultados ou as informações coletadas são enviadas de volta aos bots para este servidor centralizado.

As bothers evoluíram e passaram a ser descentralizadas

No entanto, ter um servidor centralizado torna a rede de bot mais vulnerável a quedas e tentativas de interrupção. Por esse motivo, muitos controladores de bot agora usam o modelo peer-to-peer (P2P) aon invés de centralizado.

Em um botnet peer-to-peer os bots interconectados compartilham informações sem a necessidade de devolvê-la para o servidor centralizado: os bots infectados enviam e recebem comandos. Esses bots sondam os endereços IP aleatórios para contatar outros computadores infectados. Uma vez contatado, o bot responde com informações como a  versão do software e uma lista de bots conhecidos. Se o bot contatado tiver uma versão de software mais recente, o outro bot se atualizará automaticamente para essa versão. Este método permite que o botnet cresça e esteja permaneça atualizado sem precisar estabelecer conexão com o servidor centralizado.

Isso torna muito mais difícil o combate aos bots.

Para que são utilizados os botnets?

Os dois usos mais comuns de botnets são, provavelmente:

• Realização de campanhas de e-mails (spam);
• Ataques de negação de serviço distribuídos (DDoS);
• Envio de malwares por email.
• Captação de informações.
• Fraudes de cliques e tráfego web.
• Mineração de bitcoin.

Os bots também podem ser usados ​​para enviar malware de e-mail, como o ransomware Wannacry e Petya. Diferentes tipos de malware podem ter objetivos diferentes, incluindo a captação e bloqueios das informações dos computadores infectados. Isso pode incluir senhas, dados de cartão de crédito ou qualquer outra informação que possa ser comercializada. Se os computadores em uma rede corporativa forem transformados em bots, as informações corporativas se tornam vulneráveis a roubos.

Os bots também são comumente usados ​​para fraude de cliques – visita a sites para criar tráfego falso e gerar dinheiro para aqueles que estão atrás dos bots. Eles também foram usados ​​na mineração de bitcoin.

Os 6 maiores ataques com botnet

 

Muitos botnets surgiram ao longo dos anos, mas alguns são mais impactantes do que outros. Aqui estão os seis maiores ataques de botnets já registrados.

#01 Mirai

Mirai surgiu para causar estragos nos últimos meses de 2016, usando um exército de dispositivos IoT comprometidos para lançar ataques DDoS contra uma variedade de alvos em todo o mundo.

Os objetivos iniciais dos ataques DDoS da Mirai em setembro eram o provedor de hospedagem OVH e o site do especialista em segurança Brian Krebs. Ambos foram ataques maciços DDoS, entre os maiores já vistos, atingindo um máximo de 1 Tbps e 620 Gbps, respectivamente. No final de setembro, a ameaça de Mirai aumentou quando seu código-fonte foi lançado na comunidade de hackers online HackForums. Três semanas depois, um enorme ataque DDoS contra o provedor DNS Dyn, provavelmente realizado por hackers amadores, bloqueou o acesso a vários sites de alto perfil, incluindo: Netflix, Twitter e PayPal.

No final de novembro, uma variante de Mirai afetou o acesso à Internet por quase 1 milhão de usuários de internet domésticos na Alemanha, quando explorava uma vulnerabilidade em seus roteadores; A mesma vulnerabilidade também afetou os roteadores de usuários de internet domésticos na Irlanda.

O botnet Mirai foi composto principalmente de roteadores infectados e câmeras de segurança, e esse incidente evidenciou a baixa segurança de muitos dispositivos IoT.

#02 Necurs

Foi um dos maiores distribuidores de malware de e-mail em 2016, enviando campanhas massivas espalhando o Ransomware Locky. No entanto, misteriosamente cessou a operação em 24 de dezembro de 2016 e permaneceu inativo por quase três meses.

Nesse período, a taxa de malware de e-mail detectado pela Symantec caiu maciçamente: em dezembro, a taxa de malware de e-mail era um em 98 e-mails, em janeiro caiu para um em cada 772.

Necurs retomou a atividade em 20 de março, com a Symantec bloqueando quase 2 milhões de e-mails maliciosos nessa data.

#03 Bagle

Bagle foi uma das primeiras botnets do mundo, e foi usado para realizar campanhas de spam maciças. Apareceu em 2004 e afetou os computadores com Microsoft Windows. Bagle era um worm que infectou mais de 200 mil computadores e, em 2009, foi considerado o responsável por mais de 10% de todo o spam mundial.

#04 Conficker

A primeira versão do Conficker surgiu em novembro de 2008, e rapidamente se espalhou por compartilhamentos de rede e unidades USB infectadas. Neste período estima-se que ele chegou a infectar 11 milhões de computadores.

Isso fez do Conficker uma enorme rede de bots, com potencial para causar enormes danos através de um massivo ataque DDoS. No entanto, nenhum ataque foi registrado e as verdadeiras intenções dos autores por trás de Conficker permanecem um mistério.

O custo da limpeza da Conficker foi estimado em até US $ 9 bilhões e, surpreendentemente, apesar de quase uma década desde que foi lançado, acredita-se que os computadores atacados pelo Conficker permanecem infectados.

#05 ZeroAccess

O botnet ZeroAccess foi um dos maiores botnets conhecidos em 2013. Com um exército de quase 2 milhões de computadores foi um botnet difícil de ser combatido, devido ao uso dos servidores P2P e C&C. Os pesquisadores da Symantec conseguiram localizar quase meio milhão de bots como parte de uma investigação sobre o ZeroAccess em 2013.

O ZeroAccess foi usado principalmente para fraude de cliques e mineração de bitcoin e, dado o tamanho da botnet, acredita-se que gerou muito dinheiro para seus criadores.

#06 Gameover Zeus

Gameover Zeus foi uma botnet usado principalmente para roubar informações bancárias. Aitngiiu seu pico de atividade em 2011 até uma queda em 2014. A Symantec identificou que no seu auge um número próximo a 1 milhão de computadores davam robustez ao Gameover Zeus. Estima-se que esse botnet tenha sido utilizado para roubar mais de US $100 milhões.

Gameover Zeus foi uma variante do malware Trojan.Zbot, que ainda está ativo e foi uma das principais famílias de malware financeiro detectadas pela Symantec em 2016.

Gameover Zeus era uma variante sofisticada do malware original. Essa variação cria facilidades para realização de fraudes financeiras.

Muitas campanhas de malware foram distribuídas por meio de um e-mail que representava uma fatura convencional. Uma vez que um usuário infectado visitou o site de seu banco, o malware interceptaria a sessão, obtinha a informação da vítima (agência, conta e senha) e roubaria seu dinheiro.

A remoção do Gameover Zeus ocorreu em 2014, entretando algumas variantes desse malware estão ativas ainda hoje. Recentes relatos visam sistemas de ponto de venda.

Conclusão

Botnets existem há muito tempo. Eles cresceram e evoluíram com o aumento do uso da tecnologia pelas pessoas, com o crescimento da IoT e aumento exponecial de dispositivos conectados à internet, é provável que a historia do desenvolvimento de Botnets esteja longe de terminar.

 

Tem alguma dúvida ou quer saber como se proteger?

Deixe-nos uma mensagem ou entre em contato conosco. A Tripla está aqui para te auxiliar nisso, atualmente já são mais de 25 mil dispositivos protegidos.