Das ZDNet-Magazin führt die Liste der größten Botnetze des letzten Jahrzehnts an, von Necurs bis Mirai
In den letzten zehn Jahren ist im Bereich der Informationssicherheit ein nahezu konstanter Anstieg der Malware-Aktivitäten zu verzeichnen.
Ohne Zweifel waren die 2010er Jahre ein Jahrzehnt des explosiven Wachstums von Malware, von einem gewöhnlichen, semi-amateurhaften Staat zu einer vollwertigen kriminellen Operation, die in der Lage ist, Hunderte von Millionen US-Dollar pro Jahr zu verdienen.
Obwohl in den 2010er Jahren Tausende von Malware-Varianten festgestellt wurden, erwiesen sich einige der Botnets in Größe und Verbreitung als überlegen und erreichten einen Status, den einige Sicherheitsforscher als „Super-Botnets“ bezeichneten.
Viren wie Necurs, Andromeda, Kelihos, Mirai oder ZeroAccess haben sich durch die Infektion von Millionen von Geräten auf der ganzen Welt einen Namen gemacht.
In diesem Artikel wird versucht, Informationen zu den größten Botnetzen der letzten zehn Jahre zusammenzufassen. Da Botnet-Tracking nicht zu 100% effektiv sein kann, werden sie in alphabetischer Reihenfolge aufgelistet und geben die zum Zeitpunkt ihrer Blütezeit berechnete Peakgröße an.
3ve
3ve gilt als das fortschrittlichste Botnet für
Klickbetrug . Er arbeitete von 2013 bis 2018, bis er aufgrund von international koordinierten Aktionen mit Hilfe von Google und der im Bereich Cybersicherheit tätigen Firma White Ops vom Dienst getrennt wurde.
Das Botnetz stützte sich auf eine Mischung bösartiger Skripts, die auf Servern im Rechenzentrum ausgeführt wurden, und auf Betrugsmodule, die auf mit Malware von Drittanbietern wie Methbot und Kovter infizierten Computern geladen waren.
3ve-Betreiber erstellten auch gefälschte Websites, auf denen Anzeigen hochgeladen wurden, und verwendeten dann Bots, um mit Pseudoklicks auf diese Anzeigen Gewinne zu erzielen. Es wird angenommen, dass der Bot irgendwann aus 1,5 Millionen Heimcomputern und 1900 Servern bestand, die auf Anzeigen auf 10.000 gefälschten Websites klickten.
Andromeda (Gamarue)
Die Andromeda-Malware wurde bereits 2011 entdeckt und ist ein typisches Botnetz zum Herunterladen von Spam und Malware. Dieses Schema wird auch als Malware-as-a-Service (MaaS) bezeichnet.
Wir nennen solche bösartigen Systeme, in denen Angreifer eine große Anzahl von Benutzern als Spam versenden, um sie mit einer Vielzahl des Andromeda-Virus (Gamarue) zu infizieren. Anschließend senden die Angreifer mithilfe infizierter Hosts neuen E-Mail-Spam an andere Benutzer, wodurch das Botnetz im Arbeitsmodus erweitert und unterstützt wird, oder laden die Malware der zweiten Aktionsstufe im Auftrag anderer Gruppen herunter.
MaaS-Botnetze, mit denen Programme von Drittanbietern installiert werden können, sind die rentabelsten kriminellen Systeme. Angreifer verwenden verschiedene Arten von Malware, um die Back-End-Infrastruktur eines solchen Vorgangs zu organisieren.
Andromeda ist eine der Varianten solcher Malware, die seit mehreren Jahren beliebt ist. Das Erfolgsgeheimnis ist, dass der Andromeda-Quellcode online durchgesickert ist, was es mehreren kriminellen Gruppen ermöglichte, ihre eigenen Botnets zu erstellen und sich an Cyberkriminalität zu versuchen.
Im Laufe der Jahre haben Cybersicherheitsunternehmen mehrere kriminelle Banden aufgespürt, die mit dem Andromeda-Botnetz arbeiten. Die größte davon infizierte zwei Millionen Hosts und wurde im Dezember 2017
von Europol
geschlossen .
Bamital
Bamital ist ein Werbebotnet, das von 2009 bis 2013 funktioniert hat. Es wurde gemeinsam von Microsoft und Symantec geschlossen.
Auf einem infizierten Host hat Bamital die Suchergebnisse gefälscht, indem es spezielle Links und Inhalte in diese eingefügt hat und Benutzer auf gefährliche Websites weitergeleitet hat, auf denen Programme mit integrierten Schadprogrammen heruntergeladen werden können.
Es wird angenommen, dass Bamital mehr als 1,8 Millionen Computer infiziert hat.
Bashite
Bashlite, auch bekannt als Gafgyt, Lizkebab, Qbot, Torlus und LizardStresser, ist eine Malware-Spezies, die für die Infektion von schlecht geschützten Heim-WLAN-Routern, intelligenten Geräten und Linux-Servern entwickelt wurde. Die Haupt- und einzige Aufgabe eines Botnetzes besteht darin,
DDoS-Angriffe auszuführen.
Die Malware wurde 2014 von Mitgliedern der Hacker-Gruppe Lizard Squad erstellt, und der Code wurde 2015 an das Netzwerk weitergegeben.
Aufgrund eines Lecks wird dieses Programm häufig in heutigen DDoS-Botnetzen verwendet und ist nach Mirai die zweithäufigste Malware im
IoT-Bereich . Heute gibt es Hunderte von Bashlite-Sorten.
Bayrob
Das Bayrob-Botnetz war von 2007 bis 2016 aktiv. Sein Zweck hat sich im Laufe der Zeit geändert. In der ersten Version wurde Malware als Hilfsmittel für eBay-Betrug verwendet.
Nachdem eBay und andere Websites diese Möglichkeit vertuscht hatten, verbesserte die Bayrob-Bande ihr Botnetz und wandelte es bis Mitte der 2010er-Jahre in ein Tool zum Versenden von Spam und zum Mining von Kryptowährungen um, als sie es schaffte, mindestens 400.000 Computer zu infizieren.
Er wurde im Jahr 2016 abgedeckt, als die Autoren in Rumänien gefangen und an die Vereinigten Staaten ausgeliefert wurden. Die beiden Hauptentwickler wurden vor kurzem für 18 bzw. 20 Jahre
gepflanzt .
Bredolab
Es wird angenommen, dass Bredolab von 2009 bis November 2010 30 Millionen Windows-Computer infiziert hat (eine unglaubliche Menge), als es von der niederländischen Polizei überwacht wurde und mehr als 140 seiner Kontrollserver beschlagnahmt wurden.
Das Botnetz wurde von einem armenischen Malware-Autor erstellt, der Spam-Mails und versteckte Downloads verwendete, um Benutzer zu infizieren. Nach der Infektion wurden die Computer der Benutzer zum Versenden von Spam verwendet.
Carna
Dieses Botnetz kann nicht als "Malware" bezeichnet werden. Es wurde von einem unbekannten Hacker erstellt, um eine Online-Volkszählung durchzuführen. Im Jahr 2012 infizierte er mehr als 420.000 Internet-Router und sammelte einfach Statistiken direkt von Benutzern, ohne deren Erlaubnis.
Es infizierte Router, die kein Kennwort verwendeten oder deren Sicherheit von Standardkennwörtern abhing oder leicht zu erraten war. Einige Jahre später übernahm das Mirai-Botnetz diese Taktik, um DDoS-Angriffe auszuführen.
Chamäleon
Chameleon war ein kurzlebiges Botnetz, das 2013 aktiv war. Dies ist eine der seltenen Arten von Botnetzen mit Werbebetrug. Die Autoren
infizierten mehr als 120.000 Benutzer. Er öffnete die Malware im Hintergrund von Internet Explorer und besuchte Websites mit einer Liste von 202 Punkten, an denen Anzeigen geschaltet wurden. Dies hat Botnet-Autoren dabei geholfen, bis zu 6,2 Millionen US-Dollar pro Monat zu verdienen.
Kernflut
Coreflood ist eine der vergessenen Internetbedrohungen. Es erschien im Jahr 2001 und wurde im Jahr 2011
geschlossen . Es wird angenommen, dass es mehr als 2,3 Millionen Windows-Computer infizierte und zum Zeitpunkt seiner Schließung im Juni 2011 mehr als 800.000 Bots auf der Welt arbeiteten.
Coreflood-Anwender infizierten die Computer der Benutzer mithilfe von Trap-Sites mithilfe einer Technik, die als Drive-by-Download bezeichnet wird. Nach der Infektion hat der Bot eine weitere, leistungsstärkere Malware heruntergeladen. Coreflood spielte die typische Rolle eines Malware-Downloaders.
Dridex
Dridex ist heute eines der bekanntesten Botnets. Bösartige und verwandte Botnets existieren seit 2011. Ursprünglich hieß das Projekt Cridex, entwickelte sich dann und erhielt den Namen Dridex (manchmal wird es auch Bugat genannt).
Dridex ist ein Banktrojaner, der Bankdaten stiehlt und Hackern Zugriff auf Bankkonten gewährt, aber auch eine Komponente enthält, die andere Informationen stiehlt.
In der Regel wird diese Malware über Spam-E-Mails mit angehängten Dateien verbreitet. Berichten zufolge verwaltet dieselbe Gruppe, die Dridex erstellt hat, auch das Necurs-Spam-Botnetz. Diese beiden Botnets haben ähnliche Code-Schnipsel, und der Spam, der Dridex verbreitet, geht immer über das Necurs-Botnet.
Einer der führenden Entwickler von Dridex wurde 2015
verhaftet , aber das Botnetz funktioniert bis heute.
Die Größe des Botnetzes (die Anzahl der infizierten Computer) hat sich im Laufe der Jahre dramatisch verändert. Die Malpedia-Website auf den Seiten, die den
Botnetzen Dridex und
TA505 gewidmet sind,
enthält einen kleinen Teil von Hunderten von Berichten über die Funktionsweise von Dridex, aus denen hervorgeht, wie viele Botnets in diesem Jahrzehnt aktiv waren.
Emotet
Emotet wurde erstmals im Jahr 2014 getroffen. Ursprünglich war es ein Banktrojaner, wechselte jedoch in den Jahren 2016 und 2017 seine Rolle zu einem Anbieter anderer Malware.
Heute ist Emotet das weltweit größte MaaS-Unternehmen, und Kriminelle nutzen es häufig, um auf Unternehmensnetzwerke zuzugreifen, in denen Hacker Dateien stehlen oder Ransomware-Programme installieren können, die vertrauliche Daten verschlüsseln und Unternehmen mit hohem Lösegeldbedarf erpressen.
Die Größe des Botnetzes variiert von Woche zu Woche. Darüber hinaus durchläuft Emotet drei kleine „Epochen“ (Mini-Botnets), wodurch die Schließung aufgrund der koordinierten Arbeit der Strafverfolgungsbehörden vermieden und verschiedene Maßnahmen vor einer groß angelegten Implementierung getestet werden.
Das Botnetz wird auch als Geodo bezeichnet und seine technischen Fähigkeiten werden sorgfältig
dokumentiert . Nachfolgend sehen Sie ein Diagramm der Botnet-Funktionen, die zum Zeitpunkt der Erstellung von Sophos Labs erstellt wurden.
Festi
Das Festi-Botnetz wurde mit dem gleichnamigen
Rootkit erstellt. Er arbeitete von 2009 bis 2013, danach wurde seine Tätigkeit für sich allein allmählich zunichte.
In den besten Fällen infizierte das Botnetz 2011 und 2012 mehr als 250.000 Computer und konnte täglich mehr als 2,5 Milliarden Spam-E-Mails versenden.
Zusätzlich zu den gut
dokumentierten Funktionen für Spam war das Botnetz manchmal an DDoS-Angriffen beteiligt, was es zu den seltenen Windows-basierten Botnetzen macht, die jemals daran teilgenommen haben.
Er ist auch als
Topol-Mailer bekannt .
Einige Quellen führen die Schaffung des Botnetzes auf den russischen Programmierer Igor Artimovich zurück.
Gameover ZeuS
Das Botnetz arbeitete von 2010 bis 2014, danach wurde seine Infrastruktur von internationalen Strafverfolgungsbehörden beschlagnahmt.
Das Botnetz durchlief die Infektion von Computern mit dem Banking-Trojaner Gameover ZeuS, der auf der Grundlage des Quellcodes des ZeuS-Trojaners erstellt wurde, der in das Netzwerk gelangt war. Es wird vermutet, dass er bis zu einer Million Geräte infiziert hat.
Neben dem Diebstahl von Bankdaten von infizierten Hosts bot Gameover ZeuS auch anderen Cyberkriminellen Zugriff auf infizierte Computer, damit diese ihre eigene Malware installieren konnten. Das Botnetz war der Hauptvertriebskanal für CryptoLocker, eines der ersten Ransomware-Programme, das Dateien verschlüsselt, anstatt den Desktop des Computers zu blockieren.
Der Hauptbetreiber des Botnetzes wurde der noch nicht verhaftete russische Staatsbürger Evgeny Mikhailovich Bogachev genannt. Derzeit bietet das FBI eine Belohnung von 3 Millionen US-Dollar für Informationen an, die zur Festnahme von Bogachev führen werden - dies ist die größte Belohnung, die Hackern angeboten wird.
Familie Gozi
Die Gozi-Malware-Familie verdient eine gesonderte Erwähnung in dieser Liste, da sie sich auf den aktuellen Status der Malware auswirkt und nicht unbedingt auf die Größe der auf ihrer Basis erstellten Botnets (die meisten waren klein, funktionierten aber sehr gut) Jahre).
Gozi entwickelte den
ersten Banking-Trojaner im Jahr 2006 als direkten Konkurrenten des ZeuS-Trojaners und seiner MaaS-Angebote.
Der Gozi-Quellcode ist auch online durchgesickert (2010) und wurde sofort von anderen Cyberkriminellen übernommen, die auf seiner Basis viele andere Banking-Trojaner erstellt haben, die in den letzten zehn Jahren die Nische der Malware besetzt haben.
Obwohl es mehrere Dutzend Varianten dieser Malware gab, waren
Gozi ISFB ,
Vawtrak (Neverquest) und das
GozNym- Botnetz, eine
Kombination aus Gozi IFSB und Nymain, die stabilsten.
Heute gilt Gozi als veraltet, da es mit modernen Browsern und Betriebssystemen nicht mehr auskommt und in den letzten Jahren nach und nach aufgegeben wurde.
Grum
Das Botnetz funktionierte von 2008 bis 2012 und wurde mit dem gleichnamigen Rootkit erstellt. Auf dem Höhepunkt erreichte es eine signifikante Größe von 840.000 infizierten Computern, hauptsächlich unter Windows XP.
Das Botnetz wurde 2012 nach gemeinsamen Bemühungen von Spamhaus, Group-IB und FireEye geschlossen, obwohl es zu diesem Zeitpunkt auf elende 20.000 Computer zurückgegangen war.
Das Hauptziel des Botnetzes bestand darin, mit infizierten Computern täglich zig Millionen von Spam-Nachrichten zu versenden, hauptsächlich mit Werbung für Drogen und Dating-Sites.
Hajime
Das Botnetz ist im April 2017 erschienen und funktioniert noch. Dies ist ein klassisches IoT-Botnet, das Router und intelligente Geräte mithilfe von nicht korrigierten Schwachstellen und schwachen Kennwörtern infiziert.
Es war das
erste IoT-
Botnetz , das eine Peer-to-Peer-P2P-Netzwerkstruktur verwendete. Auf dem Höhepunkt erreichte es die Größe von 300.000 infizierten Geräten; Eine solche Größe konnte er jedoch lange Zeit nicht halten, und andere Botnets begannen,
ein Stück davon von ihm abzubeißen. Jetzt ist es auf 90.000 Geräte geschrumpft.
Er war nie an DDoS-Angriffen beteiligt, und es wird vermutet, dass Kriminelle sie verwendeten, um böswillig genutzten Datenverkehr zu übertragen oder
Kennwörter aus einer Liste auszuwählen .
Kelihos (Waledac)
Das Botnetz war von 2010 bis April 2017 aktiv, als es den Behörden schließlich
gelang, es im vierten Versuch zu schließen - nach Ausfällen in den Jahren 2011, 2012 und 2013.
In seiner Blütezeit bestand das Botnetz aus Hunderttausenden von Bots, aber bis es geschlossen wurde, waren bis zu 60.000 Hosts weggeblasen.
Es war ein klassisches Spam-Botnet, bei dem infizierte Hosts zum Versenden von Spam-E-Mail-Kampagnen für verschiedene Betrüger verwendet wurden.
Der Botnetzbetreiber wurde 2017 in Spanien verhaftet und an die USA ausgeliefert, wo er sich letztes Jahr schuldig bekannte und nun
auf seine Verurteilung wartet .
Mirai
Dieses Botnetz wurde
von Studenten entwickelt , die sich über ihre Universität ärgerten und DDoS-Angriffe gegen diese durchführen wollten. Heute ist es die
häufigste Variante von Malware, die über das Internet der Dinge funktioniert.
Es wurde entwickelt, um Router und intelligente IoT-Geräte zu infizieren, die schwache Kennwörter verwenden oder keine Autorisierung für Telnet-Verbindungen verwenden. Infizierte Geräte bilden ein speziell für DDoS-Angriffe entwickeltes Botnetz.
Er wurde fast ein Jahr privat geführt, bis ein paar Angriffe zu viel Aufmerksamkeit auf seine Bediener zogen. In dem Versuch, die Spur zu verbergen, veröffentlichten die Autoren des Botnetzes seinen
Quellcode in der Hoffnung, dass andere Leute ihre Botnets erhöhen und die Strafverfolgung daran hindern würden, die Quelle des Originals zu verfolgen.
Der Fokus schlug fehl und die Veröffentlichung des Quellcodes verschlechterte die Situation erheblich, als mehrere böswillige Personen ein kostenloses und leistungsfähiges Tool in ihre Hände bekamen. Seitdem belagern Mirai-basierte Botnets Internet-Server täglich mit DDoS-Angriffen, und einige Berichte weisen darauf hin, dass die Anzahl der verschiedenen Mirai-basierten Botnets 100 übersteigt.
Seit der Veröffentlichung des Botnet-Quellcodes Ende 2016 haben Autoren anderer Botnets den Code verwendet, um ihre eigenen Varianten von Malware zu erstellen. Die bekanntesten sind Okiru, Satori, Akuma, Masuta, PureMasuta, Wicked, Sora, Owari, Omni und Mirai OMG.
Necurs
Ein Spam-Botnet,
das mir 2012 zum ersten Mal aufgefallen ist und laut einigen Quellen von demselben Team erstellt wurde, das den Banking-Trojaner Dridex verwaltet (nämlich
TA505 ).
Der einzige Zweck des Botnets besteht darin, Windows-Computer zu infizieren und sie zum Versenden von Spam zu verwenden. Zu Lebzeiten wurden Botnets zu verschiedenen Themen mit Spam belegt:
- Viagra und Arzneimittel,
- magische Heilungen
- Dating-Sites,
- Einnahmen aus dem Umtausch und der Kryptowährung durch Pumpen und Dumping,
- Spam verbreitet andere bösartige Programme - ein Dridex-Trojaner oder Locky and Bart Ransomware.
Das Botnetz erreichte in den Jahren 2016-2017 seine höchste Aktivität, als es auf 6-7 Millionen Geräten zu finden war. Es ist heute aktiv, aber nicht in einem solchen Maßstab. Hier ist eine
kurze Liste von technischen Berichten über das Botnetz und einige seiner Kampagnen.
Ramnit
Ramnit ist ein weiteres Botnetz zur Kontrolle des gleichnamigen Banking-Trojaners. Es erschien im Jahr 2010 und basierte auf dem durchgesickerten Quellcode des alten ZeuS-Trojaners.
In seiner ersten Version erreichte es die Größe von 350.000 Bots und zog die Aufmerksamkeit von Cybersicherheitsexperten und Strafverfolgungsbeamten auf sich.
Die Behörden berichteten
über die erste Version im Februar 2015, aber da sie ihre Autoren nicht verhaften konnten, erschienen die Bot-Betreiber einige Monate später erneut mit einem neuen Botnetz.
Es ist
heute aktiv , hat aber noch nicht die Höhepunkte von 2015 erreicht.
Retadup
Die Malware Retadup und ihr Botnetz wurden 2017 zum ersten Mal entdeckt. Es handelt sich um einen einfachen Trojaner, der Daten verschiedener Typen von infizierten Hosts stiehlt und Informationen an einen Remote-Server sendet.
Der Trojaner wurde die meiste Zeit seines Lebens überwacht, bis Avast und die französische Polizei im August 2019
aktiv Schritte unternahmen , um das Botnetz zu schließen, und einer Kopie des Schadprogramms den Befehl erteilten, sich von allen infizierten Hosts zu entfernen.
Erst dann wussten die Behörden, dass dieses Botnetz groß genug ist und weltweit mehr als 850.000 Systeme infiziert, hauptsächlich in Lateinamerika.
Smominru (Hexmen, MyKings)
Das Smominru-Botnetz, auch bekannt als MyKings und Hexmen, ist derzeit das größte Botnetz, das sich ausschließlich dem Crypto-Mining widmet.
Er tut dies auf Desktop-Computern und industriellen Servern, auf die normalerweise aufgrund von Schwachstellen nicht gepatchter Systeme zugegriffen werden kann.
Es erschien im Jahr 2017, als es
mehr als 525.000 Computer mit Windows infizierte und Monero (XMR) im Wert von mehr als 2,3 Millionen US-Dollar in den ersten Betriebsmonaten abbaute.
Trotz des Preisverfalls bei Kryptowährungen ist das Botnetz auch heute noch aktiv und infiziert nach dem in diesem Sommer veröffentlichten
Bericht täglich mehr als 4.700 Geräte.
Trickbot
TrickBot funktioniert genauso wie Emotet. Hierbei handelt es sich um einen ehemaligen Banktrojaner, mit dem Malware nach dem Zahlungsschema für jede Installation ausgeliefert werden kann. Mit der Installation von Malware anderer Gruppen auf infizierten Computern wird jetzt das meiste Geld verdient.
Das Botnet erschien zum ersten Mal im Jahr 2016 und große Teile des Codes, dessen erste Versionen dem bereits nicht funktionierenden Dyre-Trojaner entnommen wurden. Mit der Zeit gründeten die Überreste der ursprünglichen Dyre-Bande TrickBot, nachdem die russischen Behörden im selben Jahr mehrere Mitglieder des Teams in Umlauf gebracht hatten.
TrickBot arbeitete jedoch nicht lange als Bank-Trojaner. Bis zum Sommer 2017 entwickelte es sich langsam zu einem Malware-Lieferfahrzeug, ungefähr zu der Zeit, als Emotet eine ähnliche Transformation durchlief.
Es gibt zwar keine Anzeichen dafür, dass beide Botnetze von demselben Team verwaltet werden, sie arbeiten jedoch eindeutig zusammen. Die TrickBot-Bande verleast häufig den Zugriff auf Computer, die zuvor von Emotet infiziert wurden. Das Emotet-Team ermöglicht es Ihnen, dies zu tun, obwohl TrickBot einer ihrer Hauptkonkurrenten ist.Die Größe des TrickBot-Botnetzes hat sich im Laufe der Zeit von 30.000 auf 200.000 geändert, abhängig von der Informationsquelle und der Sichtbarkeit des Botnetzes in der Malware-Infrastruktur.Wirex
Eine der wenigen guten Geschichten auf dieser Liste. Dieses Botnet wurde nur einen Monat nach seiner Einführung geschlossen, nachdem mehrere Unternehmen und Content Delivery Networks gemeinsam seine Infrastruktur geschlossen hatten.Das Botnetz wurde mit der Malware WireX Android erstellt, die im Juli 2017 plötzlich auftauchte und in wenigen Wochen mehr als 120.000 Smartphones infizierte.Obwohl die meiste moderne Malware auf Android verwendet wird, um Anzeigen und falsche Klicks darauf anzuzeigen, verhielt sich dieses Botnetz extrem laut und wurde für DDoS-Angriffe verwendet.Dies zog sofort Sicherheitsfirmen an, und mit den gemeinsamen Bemühungen des Botnetzes wurde es bis Mitte August dieses Jahres geschlossen. An der Aktion teilgenommen Unternehmen wie Akamai, Cloudflare, Flashpoint, Google, Oracle Dyn, RiskIQ und Team Cymru.ZeroAccess
. , , .
2009, 2013
Microsoft.
Sophos, 9 Windows, , $100 000 .
ZeroAccess
Malpedia Symantec .