La revista ZDNet va a la lista de las botnets más grandes de la década pasada, de Necurs a Mirai
Durante la última década, se ha observado un aumento casi constante en la actividad de malware en el campo de la seguridad de la información.
Sin lugar a dudas, la década de 2010 fue una década de crecimiento explosivo en malware, desde el estado semi-aficionado habitual hasta una operación criminal en toda regla capaz de ganar cientos de millones de dólares al año.
Aunque se observaron miles de variantes de malware en la década de 2010, algunas de las botnets resultaron ser un corte por encima de las demás en tamaño y distribución, llegando a un estado que algunos investigadores de seguridad han llamado "super botnets".
Virus como Necurs, Andromeda, Kelihos, Mirai o ZeroAccess se han ganado un nombre al infectar millones de dispositivos en todo el mundo.
Este artículo intenta resumir información sobre las botnets más grandes de todas las que hemos visto en los últimos diez años. Dado que el seguimiento de botnet no puede ser 100% efectivo, los enumeraremos en orden alfabético, indicando el tamaño máximo calculado en el momento de su apogeo.
3ve
3ve es considerada la botnet de fraude de
clics más avanzada. Trabajó desde 2013 hasta 2018, hasta que se desconectó como resultado de acciones coordinadas internacionales, con la ayuda de Google y la empresa White Ops, dedicada a la ciberseguridad.
La botnet se basó en una combinación de scripts maliciosos que se ejecutan en servidores de centros de datos y módulos de fraude de clics cargados en computadoras infectadas con malware de terceros, como Methbot y Kovter.
Los operadores de 3ve también crearon sitios web falsos donde se cargaron anuncios, y luego usaron bots para hacer un pseudo-clic en estos anuncios para obtener ganancias. Se cree que en algún momento, el bot consistió en 1.5 millones de computadoras domésticas y 1900 servidores, que hacen clic en anuncios que se ejecutan en 10,000 sitios web falsos.
Andrómeda (gamarue)
El malware Andromeda se descubrió por primera vez en 2011, y es una botnet típica para descargar spam y malware; este esquema también se conoce como Malware-as-a-Service (MaaS).
Entonces llamamos a estos sistemas maliciosos donde los atacantes envían spam a un gran número de usuarios para infectarlos con una variedad del virus Andromeda (Gamarue). Luego, los atacantes usan hosts infectados para enviar correo electrónico no deseado a otros usuarios, lo que extiende y admite la botnet en modo de trabajo, o descarga el malware de la segunda etapa de la acción por orden de otros grupos.
Las redes de bots MaaS que brindan la capacidad de instalar programas de terceros son los esquemas criminales más rentables, y los atacantes usan varios tipos de malware para organizar la infraestructura de back-end de dicha operación.
Andromeda es una de las variantes de este tipo de malware que ha sido popular durante varios años. El secreto del éxito es que el código fuente de Andromeda se filtró en línea, lo que permitió a varios grupos criminales levantar sus propias redes de bots y probar suerte en los delitos cibernéticos.
A lo largo de los años, las compañías de ciberseguridad han rastreado a varias bandas criminales que trabajan con la botnet de Andromeda. El mayor de ellos infectó a dos millones de hosts y fue
cerrado por Europol en diciembre de 2017.
Bamital
Bamital es una botnet publicitaria que funcionó de 2009 a 2013. Fue cerrado conjuntamente por Microsoft y Symantec.
En un host infectado, Bamital falsificó los resultados de búsqueda insertando enlaces especiales y contenido en ellos, redirigiendo a los usuarios a sitios peligrosos que ofrecían descargar programas con programas maliciosos integrados.
Se cree que Bamital ha infectado más de 1.8 millones de computadoras.
Bashita
Bashlite, también conocido como Gafgyt, Lizkebab, Qbot, Torlus y LizardStresser, es una variante de malware diseñada para infectar enrutadores WiFi, dispositivos inteligentes y servidores Linux mal protegidos. La función principal y única de una botnet es ejecutar
ataques DDoS .
El malware fue creado en 2014 por miembros del grupo de hackers Lizard Squad, y su código se filtró a la red en 2015.
Debido a una fuga, este programa se usa a menudo en las botnets DDoS de hoy en día, y es el segundo malware más popular en el
área de IoT después de Mirai. Hoy en día, hay cientos de variedades de Bashlite.
Bayrob
La botnet Bayrob estuvo activa desde 2007 hasta 2016. Su propósito ha cambiado con el tiempo. En la primera versión, el malware se utilizaba como herramienta auxiliar para el fraude en eBay.
Sin embargo, después de que eBay y otros sitios cubrieron esta posibilidad, la pandilla Bayrob mejoró su red de bots y la convirtió en una herramienta para enviar spam y extraer criptomonedas a mediados de la década de 2010, cuando, como dicen, logró infectar al menos 400,000 computadoras.
Fue cubierto en 2016 cuando los autores fueron capturados en Rumania y extraditados a los Estados Unidos. Los dos desarrolladores principales han sido
plantados recientemente durante 18 y 20 años, respectivamente.
Bredolab
Se cree que Bredolab ha infectado 30 millones de computadoras con Windows (lo cual es una cantidad increíble) desde 2009 hasta noviembre de 2010, cuando fue cubierto por la policía holandesa, confiscando más de 140 de sus servidores de control.
La botnet fue creada por un autor armenio de malware, que utilizaba correos no deseados y descargas ocultas para infectar a los usuarios. Después de la infección, las computadoras de los usuarios se utilizaron para enviar spam.
Carna
Esta botnet no se puede llamar "malware". Fue creado por un hacker desconocido para realizar un censo en línea. En 2012, infectó más de 420,000 enrutadores de Internet y simplemente recopiló estadísticas directamente de los usuarios, sin su permiso.
Infectó a los enrutadores que no usaban una contraseña, o cuya seguridad dependía de contraseñas predeterminadas o fáciles de adivinar. Unos años más tarde, esta táctica fue adoptada por la botnet Mirai para llevar a cabo ataques DDoS.
Camaleón
Chameleon fue una botnet de corta duración que operaba en 2013. Este es uno de los tipos raros de botnets con fraude publicitario. Sus autores
infectaron a más de 120,000 usuarios. Abrió el malware en el fondo de Internet Explorer y fue a los sitios usando una lista de 202 puntos donde se mostraban los anuncios. Esto ha ayudado a los autores de botnets a ganar hasta $ 6.2 millones por mes.
Coreflood
Coreflood es una de las amenazas olvidadas de Internet. Apareció en 2001 y se
cerró en 2011. Se cree que infectó más de 2.3 millones de computadoras con Windows, y al momento de su cierre en junio de 2011, más de 800,000 bots estaban trabajando en el mundo.
Los operadores de Coreflood utilizaron sitios de trampa para infectar las computadoras de los usuarios utilizando una técnica llamada descarga automática. Después de la infección, el bot descargó otro malware más potente. Coreflood desempeñó el papel típico de un descargador de malware.
Dridex
Dridex es una de las botnets más famosas de la actualidad. La red de bots maliciosa y relacionada existe desde 2011. Inicialmente, el proyecto se llamó Cridex, y luego evolucionó y obtuvo el nombre de Dridex (a veces también se llama Bugat).
Dridex es un troyano bancario que roba datos bancarios y da acceso a los piratas informáticos a cuentas bancarias, pero también tiene un componente que roba otra información.
Por lo general, este malware se distribuye a través de correos electrónicos no deseados con archivos adjuntos. Según algunos informes, el mismo grupo que creó Dridex también gestiona la botnet de spam Necurs. Estas dos botnets tienen fragmentos de código similares, y el spam que propaga Dridex siempre pasa por la botnet Necurs.
Uno de los principales creadores de Dridex fue
arrestado en 2015, pero la botnet continúa funcionando hasta el día de hoy.
El tamaño de la botnet (la cantidad de computadoras infectadas) ha cambiado drásticamente a lo largo de los años. El sitio web de Malpedia, en las páginas dedicadas a las
botnets Dridex y
TA505 , almacena una pequeña parte de cientos de informes sobre el funcionamiento de Dridex, que muestra cuánto botnet ha estado activo durante esta década.
Emotet
Emotet se conoció por primera vez en 2014. Inicialmente funcionó como un troyano bancario, pero luego cambió su rol a proveedor de otro malware en 2016 y 2017.
Hoy, Emotet es la operación MaaS más grande del mundo, y los delincuentes a menudo la utilizan para obtener acceso a redes corporativas donde los piratas informáticos pueden robar archivos o instalar programas de ransomware que cifran datos confidenciales y chantajean a las empresas con grandes demandas de rescate.
El tamaño de la botnet varía de una semana a otra. Además, Emotet trabaja a través de tres pequeñas "eras" (mini-botnets), que ayudan a evitar el cierre debido al trabajo coordinado de las agencias de aplicación de la ley, así como a probar varias acciones antes de una implementación a gran escala.
La botnet también se conoce como Geodo, y sus capacidades técnicas están cuidadosamente
documentadas . A continuación se muestra un diagrama de las capacidades de botnet en el momento de la redacción, compilado por Sophos Labs.
Festi
La botnet Festi se creó utilizando el
rootkit del mismo nombre. Trabajó de 2009 a 2013, después de lo cual su actividad gradualmente se convirtió en nada por su cuenta.
En el mejor de los casos, en 2011 y 2012, la botnet infectó más de 250,000 computadoras y pudo enviar más de 2,5 mil millones de correos electrónicos no deseados al día.
Además de las características bien
documentadas para enviar correo no deseado, a veces la botnet estuvo involucrada en ataques DDoS, lo que la ubica entre las raras botnets basadas en Windows que alguna vez han participado en esto.
También es conocido como
Topol-Mailer .
Algunas fuentes atribuyen la creación de la botnet al programador ruso Igor Artimovich.
Gameover ZeuS
La red de bots funcionó de 2010 a 2014, después de lo cual su infraestructura fue confiscada por las agencias internacionales de aplicación de la ley.
La botnet estaba pasando por la infección de computadoras con el troyano bancario Gameover ZeuS, creado sobre la base del código fuente del troyano ZeuS filtrado a la red. Se cree que ha infectado hasta un millón de dispositivos.
Además de robar información bancaria de hosts infectados, Gameover ZeuS también proporcionó acceso a otros cibercriminales a computadoras infectadas para que pudieran instalar su propio malware. La botnet fue el principal canal de distribución de CryptoLocker, uno de los primeros programas de ransomware que encripta archivos en lugar de bloquear el escritorio de la computadora.
El principal operador de la botnet ha sido nombrado el ciudadano ruso aún no arrestado Evgeny Mikhailovich Bogachev. Actualmente, el FBI está ofreciendo una recompensa de $ 3 millones por información que conduzca al arresto de Bogachev, esta es la mayor recompensa ofrecida a los piratas informáticos.
Familia Gozi
La familia de malware Gozi merece una mención aparte en esta lista debido al impacto que tiene en el estado actual del malware, y no necesariamente debido al tamaño de las botnets creadas sobre la base (la mayoría de ellas eran pequeñas, pero funcionaron mucho). años)
Gozi desarrolló el
primer troyano bancario en 2006 como un competidor directo del troyano ZeuS y sus ofertas MaaS.
El código fuente de Gozi también se filtró en línea (en 2010), y fue adoptado inmediatamente por otros ciberdelincuentes, que crearon sobre su base muchos otros troyanos bancarios que han ocupado el nicho del malware en los últimos diez años.
Aunque había varias docenas de variantes de este malware,
Gozi ISFB ,
Vawtrak (Neverquest) y
GozNym botnet, una
combinación de Gozi IFSB y Nymain, fueron los más estables.
Hoy Gozi se considera obsoleto, porque no se lleva bien con los navegadores y sistemas operativos modernos, y en los últimos años se ha abandonado gradualmente.
Grum
La botnet funcionó entre 2008 y 2012, y se creó utilizando el rootkit del mismo nombre. En su apogeo, alcanzó un tamaño significativo de 840,000 computadoras infectadas, en su mayoría con Windows XP.
La botnet se cerró en 2012 después de los esfuerzos conjuntos de Spamhaus, Group-IB y FireEye, aunque en ese momento su tamaño había disminuido a 20,000 computadoras miserables.
El objetivo principal de la botnet era usar computadoras infectadas para enviar decenas de millones de mensajes de spam por día, principalmente con publicidad de drogas y sitios de citas.
Hajime
La botnet apareció en abril de 2017 y aún funciona. Esta es una botnet IoT clásica que infecta enrutadores y dispositivos inteligentes utilizando vulnerabilidades no corregidas y contraseñas débiles.
Fue la
primera red de
bots de IoT en utilizar una estructura de red P2P de igual a igual. En su apogeo, alcanzó el tamaño de 300,000 dispositivos infectados; sin embargo, no pudo mantener ese tamaño por mucho tiempo, y otras botnets comenzaron a
morder un pedazo de él . Ahora se ha reducido a 90,000 dispositivos.
Nunca se involucró en ataques DDoS, y se cree que los delincuentes lo usaron para transferir tráfico usado maliciosamente o para
seleccionar contraseñas de una lista .
Kelihos (Waledac)
La botnet estuvo activa desde 2010 hasta abril de 2017, cuando las autoridades finalmente
lograron cerrarla en el cuarto intento, después de fallas en 2011, 2012 y 2013.
En su apogeo, la red de bots constaba de cientos de miles de bots, pero cuando se cerró, hasta 60,000 hosts quedaron impresionados.
Era una botnet clásica de correo no deseado, que usaba hosts infectados para enviar campañas de correo electrónico no deseado para varios estafadores.
El operador de botnets fue arrestado en 2017 en España y extraditado a los Estados Unidos, donde se declaró culpable el año pasado y ahora está
esperando sentencia .
Mirai
Esta botnet fue
desarrollada por estudiantes que estaban enojados con su universidad y planearon realizar ataques DDoS contra ella; Hoy se ha convertido en la variante
más común de malware que funciona a través de IoT.
Fue diseñado para infectar enrutadores y dispositivos inteligentes de IoT que usan contraseñas débiles o no usan autorización para conexiones telnet. Los dispositivos infectados forman una botnet específicamente diseñada para ataques DDoS.
Lo ejecutaron en privado durante casi un año hasta que algunos ataques atrajeron demasiada atención a sus operadores. En un intento por ocultar el rastro, los autores de la botnet
publicaron su
código fuente , con la esperanza de que otras personas levanten sus botnets y eviten que las fuerzas del orden rastreen la fuente del original.
El enfoque falló y la publicación del código fuente empeoró significativamente la situación cuando varias personas maliciosas recibieron una herramienta gratuita y poderosa en sus manos. Desde entonces, las botnets basadas en Mirai han asediado a los servidores de Internet con ataques DDoS a diario, y algunos informes indican que la cantidad de botnets diferentes basadas en Mirai supera los 100.
Desde la publicación del código fuente de la botnet a fines de 2016, los autores de otras botnets han usado su código para crear sus propias variantes de malware. Los más famosos son Okiru, Satori, Akuma, Masuta, PureMasuta, Wicked, Sora, Owari, Omni y Mirai OMG.
Necurs
Una botnet de spam que me
llamó la atención por primera
vez en 2012 y fue creada, según algunas fuentes, por el mismo equipo que administra el troyano bancario Dridex (es decir,
TA505 ).
El único propósito de la botnet es infectar computadoras con Windows y usarlas para enviar spam. Durante su vida, las redes de bots han sido atrapadas enviando spam en una variedad de temas:
- Viagra y medicamentos,
- curas mágicas
- sitios de citas,
- ganancias en el intercambio y la criptomoneda a través del bombeo y el vertido,
- El spam propaga otros programas maliciosos: un troyano Dridex o un ransomware Locky y Bart.
La botnet alcanzó una actividad máxima en 2016-2017, cuando se pudo encontrar en 6-7 millones de dispositivos. Está activo hoy, pero no a tal escala. Aquí hay una
breve lista de informes técnicos sobre la botnet y algunas de sus campañas.
Ramnit
Ramnit es otra botnet diseñada para controlar el troyano bancario del mismo nombre. Apareció en 2010 y se basó en el código fuente filtrado del antiguo troyano ZeuS.
En su primera versión, alcanzó el tamaño de 350,000 bots y atrajo la atención de expertos en ciberseguridad y funcionarios encargados de hacer cumplir la ley.
Las autoridades
cubrieron la primera versión en febrero de 2015, pero como no pudieron arrestar a sus autores, los operadores de bot
aparecieron nuevamente unos meses después, con una nueva botnet.
Está
activo hoy , pero su cobertura aún no se ha acercado a los indicadores máximos de 2015.
Retadup
El malware Retadup y su botnet se detectaron por primera vez en 2017. Era un simple troyano que roba datos de varios tipos de hosts infectados y envía información a un servidor remoto.
El troyano fue monitoreado durante la mayor parte de su vida, hasta que en agosto de 2019 Avast y la policía francesa
tomaron medidas activas para cerrar la botnet y enviaron una copia del programa malicioso, un comando para eliminarse de todos los hosts infectados.
Solo entonces las autoridades supieron que esta botnet era lo suficientemente grande e infectaba más de 850,000 sistemas en todo el mundo, principalmente en América Latina.
Smominru (Hexmen, MyKings)
La botnet Smominru, también conocida como MyKings y Hexmen, es actualmente la botnet más grande dedicada exclusivamente a la minería criptográfica.
Lo hace en computadoras de escritorio y servidores industriales, cuyo acceso generalmente se obtiene debido a las vulnerabilidades de los sistemas no parcheados.
Apareció en 2017 cuando infectó
más de 525,000 computadoras con Windows y se minó a sí mismo Monero (XMR) por un valor de más de $ 2.3 millones en los primeros meses de operación.
A pesar de la caída en los precios de las criptomonedas, la botnet todavía está activa hoy e infecta a más de 4,700 dispositivos diariamente, a juzgar por el
informe publicado este verano.
Trickbot
TrickBot funciona de la misma manera que Emotet. Este es un antiguo troyano bancario que se ha convertido en un medio para entregar malware de acuerdo con el esquema de pago de cada instalación, y ahora gana la mayor cantidad de dinero al instalar malware de otros grupos en computadoras infectadas.
La botnet apareció por primera vez en 2016, y grandes secciones del código de sus primeras versiones fueron tomadas del troyano Dyre que ya no funciona. Con el tiempo, los restos de la banda original de Dyre crearon TrickBot después de que las autoridades rusas pusieron en circulación a varios miembros del equipo en el mismo año.
Sin embargo, TrickBot no funcionó durante mucho tiempo como un troyano bancario. Para el verano de 2017, se convirtió lentamente en un vehículo de entrega de malware, casi al mismo tiempo que Emotet estaba experimentando una transformación similar.
Aunque no hay evidencia de que ambas botnets sean administradas por el mismo equipo, claramente están colaborando. La pandilla TrickBot a menudo alquila acceso a computadoras que fueron previamente infectadas por Emotet. El equipo de Emotet le permite hacer esto, aunque TrickBot es uno de sus principales competidores.El tamaño de la botnet TrickBot cambió con el tiempo, de 30,000 a 200,000, dependiendo de la fuente de información y la visibilidad de la botnet en la infraestructura de malware.Wirex
Una de las pocas buenas historias en esta lista. Esta botnet se cerró solo un mes después de su lanzamiento, luego de que varias compañías y redes de entrega de contenido cerraron conjuntamente su infraestructura.La botnet se creó con el malware WireX Android, que apareció de repente en julio de 2017 e infectó a más de 120,000 teléfonos inteligentes en solo unas pocas semanas.Aunque la mayoría del malware moderno en Android se usa para mostrar anuncios y falsos clics, esta red de bots se comportó de manera extremadamente ruidosa y se usó para ataques DDoS.Esto atrajo inmediatamente a las empresas de seguridad, y con los esfuerzos conjuntos de la botnet se cerró a mediados de agosto de ese año. Participó en la acción Empresas como Akamai, Cloudflare, Flashpoint, Google, Oracle Dyn, RiskIQ y Team Cymru.ZeroAccess
Esta botnet fue creada usando el rootkit del mismo nombre. Sus operadores ganaron dinero descargando otro malware en computadoras infectadas y haciendo falsos clics en los anuncios.Se notó por primera vez en 2009 y se cerró en 2013 como resultado de una operación dirigida por Microsoft.Según el informe de Sophos, durante todo el período de su existencia, la botnet ha infectado más de 9 millones de sistemas basados en Windows, y en el pico de actividad consistió en un millón de dispositivos infectados, lo que ayudó a los operadores a ganar $ 100,000 por día.Puede encontrar una colección de informes de rendimiento de ZeroAccess en Malpedia y Symantec .