Le magazine ZDNet présente la liste des plus grands réseaux de zombies de la décennie, de Necurs à Mirai
Au cours de la dernière décennie, une augmentation presque constante de l'activité des logiciels malveillants a été observée dans le domaine de la sécurité de l'information.
Sans aucun doute, les années 2010 ont été une décennie de croissance explosive de logiciels malveillants, d'un État semi-amateur ordinaire à une opération criminelle à part entière capable de gagner des centaines de millions de dollars américains par an.
Bien que des milliers de variantes de logiciels malveillants aient été notées dans les années 2010, certains des réseaux de zombies se sont avérés être supérieurs aux autres en termes de taille et de distribution, atteignant un état que certains chercheurs en sécurité ont appelé «super botnets».
Des virus comme Necurs, Andromeda, Kelihos, Mirai ou ZeroAccess se sont fait un nom en infectant des millions d'appareils à travers le monde.
Cet article tente de résumer les informations sur les plus grands réseaux de zombies que nous ayons vus au cours des dix dernières années. Étant donné que le suivi du botnet ne peut pas être efficace à 100%, nous les répertorierons par ordre alphabétique, en indiquant la taille de pic calculée au moment de leur apogée.
3ve
3ve est considéré comme le botnet anti-fraude par
clic le plus avancé. Il a travaillé de 2013 à 2018, jusqu'à ce qu'il soit déconnecté à la suite d'actions coordonnées internationales, avec l'aide de Google et de la société White Ops, engagée dans la cybersécurité.
Le botnet reposait sur un mélange de scripts malveillants exécutés sur des serveurs de centres de données et de modules de fraude aux clics chargés sur des ordinateurs infectés par des logiciels malveillants tiers, tels que Methbot et Kovter.
Les opérateurs 3ve ont également créé de faux sites Web sur lesquels des publicités ont été téléchargées, puis ont utilisé des robots pour pseudo-cliquer sur ces publicités afin de réaliser un profit. On pense qu'à un moment donné, le bot se composait de 1,5 million d'ordinateurs personnels et de 1900 serveurs, qui cliquent sur des annonces diffusées sur 10 000 faux sites Web.
Andromède (gamarue)
Le malware Andromeda a été découvert pour la première fois en 2011, et c'est un botnet typique pour le téléchargement de spam et de malware - ce schéma est également connu sous le nom de Malware-as-a-Service (MaaS).
Nous appelons donc ces systèmes malveillants où les attaquants spamment un grand nombre d'utilisateurs afin de les infecter avec une variété de virus Andromeda (Gamarue). Ensuite, les attaquants utilisent des hôtes infectés pour envoyer de nouveaux spams par e-mail à d'autres utilisateurs, ce qui étend et prend en charge le botnet en mode de travail, ou télécharge le malware de la deuxième étape de l'action par ordre d'autres groupes.
Les botnets MaaS qui permettent d'installer des programmes tiers sont les plus rentables des systèmes criminels, et les attaquants utilisent divers types de logiciels malveillants pour organiser l'infrastructure dorsale d'une telle opération.
Andromeda est l'une des variantes de ces logiciels malveillants qui est populaire depuis plusieurs années. Le secret du succès est que le code source d'Andromeda a été divulgué en ligne, ce qui a permis à plusieurs groupes criminels de lever leurs propres botnets et de s'essayer aux cybercrimes.
Au fil des ans, les entreprises de cybersécurité ont traqué plusieurs gangs criminels travaillant avec le botnet Andromeda. Le plus grand d'entre eux a infecté deux millions d'hôtes et a été
fermé par Europol en décembre 2017.
Bamital
Bamital est un botnet publicitaire qui a fonctionné de 2009 à 2013. Il a été fermé conjointement par Microsoft et Symantec.
Sur un hôte infecté, Bamital a usurpé des résultats de recherche en y insérant des liens et du contenu spéciaux, redirigeant les utilisateurs vers des sites dangereux proposant de télécharger des programmes avec des programmes malveillants intégrés.
Bamital aurait infecté plus de 1,8 million d'ordinateurs.
Bashite
Bashlite, également connu sous le nom de Gafgyt, Lizkebab, Qbot, Torlus et LizardStresser, est une variante de malware conçue pour infecter les routeurs WiFi domestiques mal protégés, les appareils intelligents et les serveurs Linux. Le rôle principal et unique d'un botnet est d'exécuter
des attaques DDoS .
Le malware a été créé en 2014 par des membres du groupe de hackers Lizard Squad, et son code a été divulgué au réseau en 2015.
En raison d'une fuite, ce programme est souvent utilisé dans les botnets DDoS d'aujourd'hui, et c'est le deuxième malware le plus populaire dans la
zone IoT après Mirai. Aujourd'hui, il existe des centaines de variétés de Bashlite.
Bayrob
Le botnet Bayrob a été actif de 2007 à 2016. Son objectif a changé au fil du temps. Dans la première version, le malware était utilisé comme outil auxiliaire pour la fraude sur eBay.
Cependant, après qu'eBay et d'autres sites aient dissimulé cette possibilité, le gang Bayrob a amélioré son botnet et l'a transformé en un outil d'envoi de spam et d'exploitation de crypto-monnaies au milieu des années 2010, quand, comme on dit, il a réussi à infecter au moins 400000 ordinateurs.
Il a été couvert en 2016 lorsque les auteurs ont été capturés en Roumanie et extradés vers les États-Unis. Deux grands développeurs ont récemment été
plantés pendant 18 et 20 ans, respectivement.
Bredolab
Bredolab aurait infecté 30 millions d'ordinateurs Windows (ce qui est une quantité incroyable) de 2009 à novembre 2010, alors qu'il était couvert par la police néerlandaise, saisissant plus de 140 de ses serveurs de contrôle.
Le botnet a été créé par un auteur arménien de logiciels malveillants, qui a utilisé des spams et des téléchargements cachés pour infecter les utilisateurs. Après l'infection, les ordinateurs des utilisateurs ont été utilisés pour envoyer du spam.
Carna
Ce botnet ne peut pas être qualifié de "malware". Il a été créé par un pirate inconnu pour effectuer un recensement en ligne. En 2012, il a infecté plus de 420 000 routeurs Internet et a simplement collecté des statistiques directement auprès des utilisateurs, sans leur autorisation.
Il infectait des routeurs qui n'utilisaient pas de mot de passe ou dont la sécurité dépendait de mots de passe par défaut ou faciles à deviner. Quelques années plus tard, cette tactique a été adoptée par le botnet Mirai pour mener des attaques DDoS.
Caméléon
Chameleon était un botnet de courte durée en activité en 2013. C'est l'un des rares types de botnets avec fraude publicitaire. Ses auteurs ont
infecté plus de 120 000 utilisateurs. Il a ouvert le malware en arrière-plan d'Internet Explorer et s'est rendu sur des sites utilisant une liste de 202 points où des publicités étaient affichées. Cela a aidé les auteurs de réseaux de zombies à gagner jusqu'à 6,2 millions de dollars par mois.
Coreflood
Coreflood est l'une des menaces Internet oubliées. Il est apparu en 2001 et a été
fermé en 2011. On pense qu'il a infecté plus de 2,3 millions d'ordinateurs Windows, et au moment de sa fermeture en juin 2011, plus de 800 000 robots fonctionnaient dans le monde.
Les opérateurs Coreflood ont utilisé des sites de piège pour infecter les ordinateurs des utilisateurs en utilisant une technique appelée téléchargement au volant. Après l'infection, le bot a téléchargé un autre malware plus puissant. Coreflood a joué le rôle typique d'un téléchargeur de logiciels malveillants.
Dridex
Dridex est aujourd'hui l'un des réseaux de zombies les plus célèbres. Des réseaux de zombies malveillants et apparentés existent depuis 2011. Initialement, le projet s'appelait Cridex, puis il a évolué et a pris le nom de Dridex (parfois il est aussi appelé Bugat).
Dridex est un cheval de Troie bancaire qui vole des coordonnées bancaires et permet aux pirates d'accéder à des comptes bancaires, mais il possède également un composant qui vole d'autres informations.
En règle générale, ce malware est distribué par le biais de courriers indésirables avec des fichiers joints. Selon certains rapports, le même groupe qui a créé Dridex gère également le botnet anti-spam Necurs. Ces deux botnets ont des extraits de code similaires, et le spam qui propage Dridex passe toujours par le botnet Necurs.
L'un des principaux créateurs de Dridex a été
arrêté en 2015, mais le botnet continue de fonctionner à ce jour.
La taille du botnet (le nombre d'ordinateurs infectés) a considérablement changé au fil des ans. Le site Web de Malpedia, sur les pages dédiées aux
botnets Dridex et
TA505 , stocke une petite partie de centaines de rapports sur le fonctionnement de Dridex, qui montre combien de botnet a été actif au cours de cette décennie.
Emotet
Emotet a été rencontré pour la première fois en 2014. Il a d'abord travaillé comme cheval de Troie bancaire, mais a ensuite changé son rôle en fournisseur d'autres logiciels malveillants en 2016 et 2017.
Aujourd'hui, Emotet est la plus grande opération MaaS au monde, et les criminels l'utilisent souvent pour accéder à des réseaux d'entreprise où les pirates peuvent voler des fichiers ou installer des programmes de rançongiciels qui chiffrent les données sensibles et font chanter les entreprises avec de grandes demandes de rançon.
La taille du botnet varie d'une semaine à l'autre. En outre, Emotet fonctionne à travers trois petites «ères» (mini-botnets), ce qui évite la fermeture en raison du travail coordonné des forces de l'ordre, ainsi que de tester diverses actions avant une mise en œuvre à grande échelle.
Le botnet est également connu sous le nom de Geodo et ses capacités techniques sont soigneusement
documentées . Vous trouverez ci-dessous un diagramme des capacités du botnet au moment de la rédaction, compilé par les Sophos Labs.
Festi
Le botnet Festi a été créé en utilisant le
rootkit du même nom. Il a travaillé de 2009 à 2013, après quoi son activité a progressivement échoué par lui-même.
Dans le meilleur des cas, en 2011 et 2012, le botnet a infecté plus de 250 000 ordinateurs et pourrait envoyer plus de 2,5 milliards de spams par jour.
En plus des fonctionnalités bien
documentées pour le spam, le botnet a parfois été impliqué dans des attaques DDoS, ce qui le place parmi les rares botnets basés sur Windows qui y ont déjà participé.
Il est également connu sous le nom de
Topol-Mailer .
Certaines sources attribuent la création du botnet au programmeur russe Igor Artimovich.
Gameover ZeuS
Le botnet a fonctionné de 2010 à 2014, après quoi son infrastructure a été confisquée par les organismes internationaux chargés de l'application des lois.
Le botnet traversait l'infection d'ordinateurs par le cheval de Troie bancaire Gameover ZeuS, créé sur la base du code source du cheval de Troie ZeuS divulgué sur le réseau. On pense qu'il a infecté jusqu'à un million d'appareils.
En plus de voler des informations bancaires à des hôtes infectés, Gameover ZeuS a également fourni l'accès à d'autres cybercriminels à des ordinateurs infectés afin qu'ils puissent installer leur propre malware. Le botnet était le principal canal de distribution de CryptoLocker, l'un des premiers programmes de rançongiciels qui chiffrent les fichiers plutôt que de bloquer le bureau de l'ordinateur.
Le principal opérateur du réseau de zombies a été nommé le citoyen russe toujours non arrêté Evgeny Mikhailovich Bogachev. Actuellement, le FBI offre une récompense de 3 millions de dollars pour les informations qui mèneront à l'arrestation de Bogachev - c'est la plus grande récompense offerte aux pirates.
Famille Gozi
La famille de logiciels malveillants Gozi mérite une mention distincte sur cette liste en raison de son impact sur l'état actuel des logiciels malveillants, et pas nécessairement en raison de la taille des réseaux de zombies créés sur sa base (la plupart d'entre eux étaient petits, mais fonctionnaient beaucoup). ans).
Gozi a développé le
premier cheval de Troie bancaire en 2006 en tant que concurrent direct du cheval de Troie ZeuS et de ses offres MaaS.
Le code source de Gozi a également fuité en ligne (en 2010) et a été immédiatement adopté par d'autres cybercriminels, qui ont créé sur sa base de nombreux autres chevaux de Troie bancaires qui ont occupé le créneau des logiciels malveillants au cours des dix dernières années.
Bien qu'il existe plusieurs dizaines de variantes de ce logiciel malveillant,
Gozi ISFB , le
Vawtrak (Neverquest) et le botnet
GozNym sont une
combinaison de Gozi IFSB et Nymain.
Aujourd'hui, Gozi est considéré comme obsolète, car il ne s'entend pas avec les navigateurs et les systèmes d'exploitation modernes, et ces dernières années, il a été progressivement abandonné.
Grum
Le botnet a fonctionné de 2008 à 2012 et a été créé à l'aide du rootkit du même nom. À son apogée, il a atteint une taille significative de 840 000 ordinateurs infectés, exécutant principalement Windows XP.
Le botnet a été fermé en 2012 après les efforts conjoints de Spamhaus, Group-IB et FireEye, bien qu'à ce moment-là, sa taille était tombée à 20 000 ordinateurs misérables.
L'objectif principal du botnet était d'utiliser des ordinateurs infectés pour envoyer des dizaines de millions de spams par jour, principalement avec des publicités et des sites de rencontres.
Hajime
Le botnet est apparu en avril 2017 et fonctionne toujours. Il s'agit d'un botnet IoT classique qui infecte les routeurs et les appareils intelligents à l'aide de vulnérabilités non corrigées et de mots de passe faibles.
Il s'agissait du
premier botnet IoT à utiliser une structure de réseau P2P peer-to-peer. À son apogée, il a atteint la taille de 300 000 appareils infectés; cependant, il n'a pas pu maintenir une telle taille pendant longtemps, et d'autres botnets ont commencé à lui
arracher un morceau . Maintenant, il est passé à 90 000 appareils.
Il ne s'est jamais engagé dans des attaques DDoS, et on pense que les criminels l'ont utilisé pour transférer du trafic utilisé de manière malveillante ou pour
sélectionner des mots de passe dans une liste .
Kelihos (Waledac)
Le botnet était actif de 2010 à avril 2017, lorsque les autorités ont finalement
réussi à le fermer à la quatrième tentative - après des échecs en 2011, 2012 et 2013.
À son apogée, le botnet était composé de centaines de milliers de robots, mais au moment de sa fermeture, jusqu'à 60 000 hôtes ont été emportés.
Il s'agissait d'un botnet de spam classique, utilisant des hôtes infectés pour envoyer des campagnes de spam par courrier électronique à divers escrocs.
L'opérateur de botnet a été arrêté en 2017 en Espagne et extradé vers les États-Unis, où il a plaidé coupable l'année dernière et
attend actuellement
sa condamnation .
Mirai
Ce botnet a été
développé par des étudiants qui étaient en colère contre leur université et prévoyaient de mener des attaques DDoS contre lui; Aujourd'hui, il est devenu la variante la
plus courante des logiciels malveillants fonctionnant via l'IoT.
Il a été conçu pour infecter les routeurs et les appareils IoT intelligents qui utilisent des mots de passe faibles ou n'utilisent pas d'autorisation pour les connexions Telnet. Les appareils infectés constituent un botnet spécialement conçu pour les attaques DDoS.
Il a été exécuté en privé pendant près d'un an jusqu'à ce que quelques attaques attirent trop l'attention sur ses opérateurs. Afin de cacher la piste, les auteurs du botnet ont
publié son
code source , espérant que d'autres personnes lèveraient leurs botnets et empêcheraient les forces de l'ordre de retrouver la source de l'original.
La mise au point a échoué et la publication du code source a considérablement aggravé la situation lorsque plusieurs individus malveillants ont reçu un outil gratuit et puissant entre leurs mains. Depuis lors, les botnets basés sur Mirai ont assiégé quotidiennement les serveurs Internet avec des attaques DDoS, et certains rapports indiquent que le nombre de différents botnets basés sur Mirai dépasse 100.
Depuis la publication du code source du botnet fin 2016, les auteurs d'autres botnets ont utilisé son code pour créer leurs propres variantes de malware. Les plus célèbres d'entre eux sont Okiru, Satori, Akuma, Masuta, PureMasuta, Wicked, Sora, Owari, Omni et Mirai OMG.
Necurs
Un botnet anti-spam qui a
attiré mon attention pour la première fois en 2012 et a été créé, selon certaines sources, par la même équipe qui gère le cheval de Troie bancaire Dridex (à savoir
TA505 ).
Le seul but du botnet est d’infecter les ordinateurs Windows et de les utiliser pour envoyer du spam. Au cours de leur vie, les botnets ont été capturés comme du spam sur une variété de sujets:
- Viagra et médicaments,
- cures magiques
- sites de rencontres,
- les gains sur l'échange et la crypto-monnaie grâce au pompage et au dumping,
- Spam répandant d'autres programmes malveillants - un cheval de Troie Dridex ou un ransomware Locky et Bart.
Le botnet a atteint son pic d'activité en 2016-2017, alors qu'il pouvait être trouvé sur 6-7 millions d'appareils. Elle est active aujourd'hui, mais pas à une telle échelle. Voici une
courte liste de rapports techniques sur le botnet et certaines de ses campagnes.
Ramnit
Ramnit est un autre botnet conçu pour contrôler le cheval de Troie bancaire du même nom. Il est apparu en 2010 et était basé sur le code source divulgué de l'ancien cheval de Troie ZeuS.
Dans sa première version, il a atteint la taille de 350 000 bots et a attiré l'attention des experts en cybersécurité et des responsables de l'application des lois.
Les autorités ont
couvert la première version en février 2015, mais comme elles n'ont pas pu arrêter ses auteurs, les opérateurs de robots sont
apparus à nouveau quelques mois plus tard, avec un nouveau botnet.
Il est
actif aujourd'hui , mais sa couverture n'est pas encore proche des indicateurs de pointe de 2015.
Retadup
Le malware Retadup et son botnet ont été détectés pour la première fois en 2017. Il s'agissait d'un simple cheval de Troie qui dérobe des données de différents types à des hôtes infectés et envoie des informations à un serveur distant.
Le cheval de Troie a été surveillé pendant la majeure partie de sa vie, jusqu'en août 2019.Avast et la police française ont
pris des mesures actives pour fermer le botnet et ont envoyé une copie du programme malveillant une commande pour se retirer de tous les hôtes infectés.
Ce n'est qu'à ce moment-là que les autorités ont su que ce botnet était suffisamment grand et infectait plus de 850 000 systèmes dans le monde, principalement en Amérique latine.
Smominru (Hexmen, MyKings)
Le botnet Smominru, également connu sous le nom de MyKings et Hexmen, est actuellement le plus grand botnet dédié exclusivement à l'extraction de crypto.
Il le fait sur des ordinateurs de bureau et des serveurs industriels, dont l'accès est généralement obtenu en raison des vulnérabilités des systèmes non corrigés.
Il est apparu en 2017 lorsqu'il a infecté
plus de 525 000 ordinateurs exécutant Windows et s'est exploité Monero (XMR) d'une valeur de plus de 2,3 millions de dollars au cours des premiers mois de fonctionnement.
Malgré la chute des prix des crypto-monnaies, le botnet est toujours actif aujourd'hui et infecte plus de 4700 appareils quotidiennement, à en juger par le
rapport publié cet été.
Trickbot
TrickBot fonctionne de la même manière qu'Emotet. Il s'agit d'un ancien cheval de Troie bancaire qui est devenu un moyen de livrer des logiciels malveillants selon le schéma de paiement pour chaque installation, et maintenant il gagne le plus d'argent en installant des logiciels malveillants d'autres groupes sur des ordinateurs infectés.
Le botnet est apparu pour la première fois en 2016, et de grandes sections du code, ses premières versions ont été empruntées au cheval de Troie Dyre, qui ne fonctionnait pas déjà. Au fil du temps, les restes du gang Dyre d'origine ont créé TrickBot après que les autorités russes ont mis en circulation plusieurs membres de l'équipe la même année.
Cependant, TrickBot n'a pas fonctionné longtemps comme un cheval de Troie bancaire. À l'été 2017, il s'est lentement transformé en un véhicule de livraison de logiciels malveillants, à peu près au moment où Emotet subissait une transformation similaire.
Bien qu'il n'y ait aucune preuve que les deux réseaux de zombies sont gérés par la même équipe, ils collaborent clairement. Le gang TrickBot loue souvent l'accès à des ordinateurs précédemment infectés par Emotet. L'équipe Emotet vous permet de le faire, même si TrickBot est l'un de leurs principaux concurrents.La taille du botnet TrickBot a changé au fil du temps, passant de 30 000 à 200 000, selon la source d'informations et la visibilité du botnet dans l'infrastructure des logiciels malveillants.Wirex
L'une des quelques bonnes histoires de cette liste. Ce botnet a été fermé un mois seulement après son lancement, après que plusieurs sociétés et réseaux de diffusion de contenu ont conjointement fermé son infrastructure.Le botnet a été créé à l'aide du malware WireX Android, qui est soudainement apparu en juillet 2017 et a infecté plus de 120000 smartphones en quelques semaines seulement.Bien que la plupart des logiciels malveillants modernes sur Android soient utilisés pour afficher des publicités et de faux clics, ce botnet s'est comporté extrêmement bruyant et a été utilisé pour les attaques DDoS.Cela a immédiatement attiré les entreprises de sécurité et, avec les efforts conjoints du botnet, fermé à la mi-août de la même année. Participé à l'action Des entreprises comme Akamai, Cloudflare, Flashpoint, Google, Oracle Dyn, RiskIQ et Team Cymru.ZeroAccess
Ce botnet a été créé en utilisant le rootkit du même nom. Ses opérateurs ont gagné de l'argent en téléchargeant d'autres logiciels malveillants sur des ordinateurs infectés et en faisant de faux clics sur les publicités.Il a été remarqué pour la première fois en 2009 et fermé en 2013 à la suite d'une opération dirigée par Microsoft.Selon le rapport Sophos, sur toute la période de son existence, le botnet a infecté plus de 9 millions de systèmes Windows et, au pic d'activité, il se composait d'un million d'appareils infectés, aidant les opérateurs à gagner 100000 dollars par jour.Une collection de rapports de performance ZeroAccess peut être trouvée sur Malpedia et Symantec .