Pentru a reduce riscul: Raport despre activitatea botnet-urilor

„Motivul pentru care instrumentele RAT și alt malware multifuncțional sunt în top în materie de botnet–uri este evident: este destul de costisitor să deții un botnet, iar pentru a face profit infractorii trebuie să folosească toate ocaziile de a valorifica malware-ul deținut”.

Aceasta spune Alexander Eremin, security expert la Kaspersky Lab.

Cercetătorii Kaspersky Lab au publicat un raport despre activitatea botnet-urilor în prima jumătatea a anului 2018.

Flexibil

Aceasta în urma analizării a peste 150 de familii malware. Și a diferitelor modificări suferite de acestea, care au circulat prin 60.000 de botnet-uri, în toată lumea. Unul dintre cele mai interesante lucruri scoase la iveală a fost cererea tot mai mare de malware multifuncțional. Care nu este creat pentru un scop anume, dar este suficient de flexibil pentru a îndeplini aproape orice sarcină.

Cercetare

Botnet-urile – rețele de dispozitive compromise folosite în scop infracțional – sunt valorificate de infractori pentru a răspândi malware și a facilita atacurile DDoS și de tip spam. Folosind tehnologia Kaspersky Lab Botnet Tracking, cercetătorii companiei au monitorizat continuu activitatea botnet-urilor. Pentru a preveni atacuri sau pentru a distruge noile tipuri de troieni bancari dintr-un stadiu incipient.

Tehnologia funcționează prin simularea unui dispozitiv compromis și interceptarea comenzilor primite de la atacatorii care folosesc botnet-urile pentru a distribui malware. Acest lucru le oferă cercetătorilor mostre valoroase de malware și statistici.

Pe baza rezultatelor unei cercetări recente, în prima jumătate a anului 2018, distribuirea prin intermediul botnet-urilor a malware-ului unifuncțional a scăzut semnificativ, în comparație cu cea de-a doua jumătate a anului 2017.

Instrumente

În același timp, cea mai clară creștere a fost înregistrată de malware-ul versatil: mai ales de cel de tip RAT (Remote Access Tools). Care oferă numeroase posibilități de a exploata PC-urile infectate. Nirat, DarkComet și Nanocore au fost cele mai răspândite instrumente de tip RAT. Datorită structurii lor relativ simple, cele trei backdoor-uri pot fi modificate chiar și de un atacator fără experiență. Acest lucru face posibil ca malware-ul să fie adaptat pentru distribuirea într-o anumită regiune.

Scopuri

Troienii, care sunt folosiți și ei în numeroase scopuri, nu au progresat la fel de mult ca instrumentele RAT. Dar, spre deosebire de malware-ul unifuncțional, procentul lor a crescut de la 32,89% în H2 2017, la 34,25% în H1 2018, dintre toate fișierele detectate. Exact ca backdoor-urile, o familie de troieni poate fi modificată și controlată de multiple servere de comandă și control (C&C). Fiecare având scopuri diferite – de exemplu, spionaj cibernetic sau furtul datelor de autentificare.

Funcțiile

„Un botnet construit din malware multifuncțional își poate schimba funcțiile relativ repede și trece de la mesaje spam, la atacuri DDoS sau la răspândirea de troieni bancari. Această capacitate îi permite deținătorului să schimbe diverse modele „active” de business, dar și să obțină un venit pasiv, închiriind botnet-ul altor infractori”, mai adaugă, de asemenea, Alexander Eremin.