Majalah ZDNet Masuk Daftar Botnet Terbesar Dasawarsa, Dari Necurs ke Mirai
Selama dekade terakhir, peningkatan yang hampir konstan dalam aktivitas malware telah dicatat di bidang keamanan informasi.
Tanpa diragukan lagi, tahun 2010 adalah dekade ledakan pertumbuhan dalam malware, dari negara biasa, semi-amatir hingga operasi kriminal penuh yang mampu menghasilkan ratusan juta dolar AS setahun.
Meskipun ribuan varian malware dicatat pada tahun 2010-an, beberapa botnet ternyata lebih besar dari yang lain dalam ukuran dan distribusi, mencapai keadaan yang oleh beberapa peneliti keamanan disebut “botnet super.”
Virus seperti Necurs, Andromeda, Kelihos, Mirai, atau ZeroAccess telah mendapatkan nama untuk diri mereka sendiri dengan menginfeksi jutaan perangkat di seluruh dunia.
Artikel ini mencoba merangkum informasi tentang botnet terbesar dari semua yang telah kita lihat selama sepuluh tahun terakhir. Karena pelacakan botnet tidak dapat 100% efektif, kami akan mencantumkannya dalam urutan abjad, menunjukkan ukuran puncak yang dihitung pada saat masa kejayaannya.
3ve
3ve dianggap botnet penipuan
klik paling canggih. Dia bekerja dari 2013 hingga 2018, hingga dia terputus karena tindakan terkoordinasi internasional, dengan bantuan Google dan perusahaan White Ops, yang terlibat dalam cybersecurity.
Botnet mengandalkan campuran skrip berbahaya yang berjalan di server pusat data dan klik modul penipuan yang dimuat di komputer yang terinfeksi malware pihak ketiga, seperti Methbot dan Kovter.
3ve operator juga membuat situs web palsu tempat iklan diunggah, dan kemudian menggunakan bot untuk melakukan pseudo-klik pada iklan ini untuk mendapat untung. Dipercayai bahwa pada titik tertentu, bot terdiri dari 1,5 juta komputer di rumah dan 1900 server, yang mengklik iklan yang berjalan di 10.000 situs web palsu.
Andromeda (gamarue)
Malware Andromeda pertama kali ditemukan pada tahun 2011, dan merupakan botnet khas untuk mengunduh spam dan malware - skema ini juga dikenal sebagai Malware-as-a-Service (MaaS).
Jadi kami menyebut sistem berbahaya semacam itu di mana penyerang mengirim spam dalam jumlah besar kepada pengguna untuk menginfeksi mereka dengan beragam virus Andromeda (Gamarue). Kemudian, penyerang menggunakan host yang terinfeksi untuk mengirim spam email baru ke pengguna lain, yang memperluas dan mendukung botnet dalam mode kerja, atau mengunduh malware dari tindakan tahap kedua atas perintah kelompok lain.
Botnet MaaS yang menyediakan kemampuan untuk menginstal program pihak ketiga adalah yang paling menguntungkan dari skema kriminal, dan penyerang menggunakan berbagai jenis malware untuk mengatur infrastruktur backend dari operasi semacam itu.
Andromeda adalah salah satu varian malware yang telah populer selama beberapa tahun. Rahasia kesuksesan adalah bahwa kode sumber Andromeda bocor secara online, yang memungkinkan beberapa kelompok kriminal untuk meningkatkan botnet mereka sendiri dan mencoba tangan mereka di cybercrimes.
Selama bertahun-tahun, perusahaan cybersecurity telah melacak beberapa geng kriminal yang bekerja dengan botnet Andromeda. Yang terbesar dari mereka menginfeksi dua juta host, dan
ditutup oleh Europol pada Desember 2017.
Bamital
Bamital adalah botnet iklan yang berfungsi mulai 2009 hingga 2013. Itu ditutup bersama oleh Microsoft dan Symantec.
Pada host yang terinfeksi, Bamital memalsukan hasil pencarian dengan menyisipkan tautan dan konten khusus ke dalamnya, mengarahkan pengguna ke situs berbahaya yang menawarkan untuk mengunduh program dengan program jahat bawaan.
Bamital diyakini telah menginfeksi lebih dari 1,8 juta komputer.
Bashite
Bashlite, juga dikenal sebagai Gafgyt, Lizkebab, Qbot, Torlus, dan LizardStresser, adalah varian malware yang dirancang untuk menginfeksi router WiFi, perangkat pintar, dan server Linux yang kurang terlindungi. Peran utama dan satu-satunya botnet adalah untuk mengeksekusi
serangan DDoS .
Malware ini dibuat pada tahun 2014 oleh anggota kelompok peretas Lizard Squad, dan kodenya bocor ke jaringan pada tahun 2015.
Karena kebocoran, program ini sering digunakan dalam botnet DDoS hari ini, dan ini adalah malware paling populer kedua di
area IoT setelah Mirai. Saat ini, ada ratusan varietas Bashlite.
Bayrob
Botnet Bayrob aktif dari 2007 hingga 2016. Tujuannya telah berubah seiring waktu. Dalam versi pertama, malware digunakan sebagai alat bantu untuk penipuan eBay.
Namun, setelah eBay dan situs lain menutupi kemungkinan ini, geng Bayrob meningkatkan botnet dan mengubahnya menjadi alat untuk mengirim spam dan menambang cryptocurrency pada pertengahan 2010-an, ketika, seperti yang mereka katakan, ia berhasil menginfeksi setidaknya 400.000 komputer.
Dia diliput pada 2016 ketika penulis ditangkap di Rumania dan diekstradisi ke Amerika Serikat. Dua pengembang utama baru-baru ini
ditanam masing-masing selama 18 dan 20 tahun.
Bredolab
Bredolab diyakini telah menginfeksi 30 juta komputer Windows (yang merupakan jumlah yang luar biasa) dari tahun 2009 hingga November 2010, ketika dicakup oleh polisi Belanda, menyita lebih dari 140 server kontrolnya.
Botnet dibuat oleh penulis malware Armenia, yang menggunakan email spam dan unduhan tersembunyi untuk menginfeksi pengguna. Setelah infeksi, komputer pengguna digunakan untuk mengirim spam.
Carna
Botnet ini tidak dapat disebut "malware." Itu dibuat oleh peretas yang tidak dikenal untuk melakukan sensus online. Pada 2012, ia menginfeksi lebih dari 420.000 router Internet, dan hanya mengumpulkan statistik langsung dari pengguna, tanpa izin mereka.
Itu menginfeksi router yang tidak menggunakan kata sandi, atau yang keamanannya bergantung pada kata sandi standar atau mudah ditebak. Beberapa tahun kemudian, taktik ini diadopsi oleh botai Mirai untuk melakukan serangan DDoS.
Bunglon
Chameleon adalah botnet berumur pendek yang beroperasi pada 2013. Ini adalah salah satu jenis botnet langka dengan penipuan iklan. Penulisnya
menginfeksi lebih dari 120.000 pengguna. Dia membuka malware di latar belakang Internet Explorer, dan pergi ke situs menggunakan daftar 202 titik di mana iklan ditampilkan. Ini telah membantu penulis botnet menghasilkan hingga $ 6,2 juta per bulan.
Coreflood
Coreflood adalah salah satu ancaman Internet yang terlupakan. Itu muncul pada tahun 2001 dan
ditutup pada tahun 2011. Dipercaya bahwa itu menginfeksi lebih dari 2,3 juta komputer Windows, dan pada saat penutupannya pada Juni 2011, lebih dari 800.000 bot bekerja di dunia.
Operator Coreflood menggunakan situs jebakan untuk menginfeksi komputer pengguna menggunakan teknik yang disebut unduhan drive-by. Setelah infeksi, bot mengunduh malware lain yang lebih kuat. Coreflood memainkan peran khas pengunduh malware.
Dridex
Dridex adalah salah satu botnet paling terkenal saat ini. Botnet berbahaya dan terkait ada sejak 2011. Awalnya, proyek itu bernama Cridex, dan kemudian berkembang dan mendapat nama Dridex (kadang-kadang juga disebut Bugat).
Dridex adalah trojan perbankan yang mencuri detail bank dan memberi peretas akses ke rekening bank, tetapi ia juga memiliki komponen yang mencuri informasi lainnya.
Biasanya, malware ini didistribusikan melalui email spam dengan file yang terlampir padanya. Menurut beberapa laporan, grup yang sama yang membuat Dridex juga mengelola botnet spam Necurs. Kedua botnet ini memiliki potongan kode yang serupa, dan spam yang menyebar Dridex selalu melewati botnet Necurs.
Salah satu pencipta terkemuka Dridex
ditangkap pada 2015, tetapi botnet terus bekerja hingga hari ini.
Ukuran botnet (jumlah komputer yang terinfeksi) telah berubah secara dramatis selama bertahun-tahun. Situs web Malpedia, di halaman yang didedikasikan untuk
bot Dridex dan
TA505 , menyimpan sebagian kecil dari ratusan laporan tentang pengoperasian Dridex, yang menunjukkan seberapa banyak botnet telah aktif selama dekade ini.
Emotet
Emotet pertama kali bertemu pada 2014. Awalnya bekerja sebagai trojan perbankan, tetapi kemudian mengubah perannya menjadi penyedia malware lain pada 2016 dan 2017.
Saat ini, Emotet adalah operasi MaaS terbesar di dunia, dan penjahat sering menggunakannya untuk mendapatkan akses ke jaringan perusahaan tempat peretas dapat mencuri file atau menginstal program ransomware yang mengenkripsi data sensitif dan memeras perusahaan dengan tuntutan tebusan besar.
Ukuran botnet bervariasi dari minggu ke minggu. Selain itu, Emotet bekerja melalui tiga "era" kecil (mini-botnet), yang membantu menghindari penutupan karena pekerjaan yang terkoordinasi dari lembaga penegak hukum, serta menguji berbagai tindakan sebelum implementasi skala besar.
Botnet juga dikenal sebagai Geodo, dan kemampuan teknisnya
didokumentasikan dengan cermat. Di bawah ini adalah diagram kemampuan botnet pada saat penulisan, disusun oleh Sophos Labs.
Festi
Botnet Festi dibuat menggunakan
rootkit dengan nama yang sama. Dia bekerja dari 2009 hingga 2013, setelah itu aktivitasnya secara bertahap sia-sia.
Pada masa terbaiknya, pada 2011 dan 2012, botnet menginfeksi lebih dari 250.000 komputer, dan dapat mengirim lebih dari 2,5 miliar email spam setiap hari.
Selain fitur yang
terdokumentasi dengan baik untuk spamming, terkadang botnet terlibat dalam serangan DDoS, yang menempatkannya di antara botnet langka berbasis Windows yang pernah berpartisipasi dalam hal ini.
Ia juga dikenal sebagai
Topol-Mailer .
Beberapa sumber menghubungkan pembuatan botnet dengan programmer Rusia Igor Artimovich.
Gameover ZeuS
Botnet bekerja dari 2010 hingga 2014, setelah itu infrastrukturnya disita oleh lembaga penegak hukum internasional.
Botnet mengalami infeksi komputer dengan Trojan Gameover ZeuS perbankan, yang dibuat berdasarkan kode sumber Trojan ZeuS yang bocor ke jaringan. Dipercaya bahwa ia telah menginfeksi hingga satu juta perangkat.
Selain mencuri informasi perbankan dari host yang terinfeksi, Gameover ZeuS juga menyediakan akses ke penjahat dunia maya ke komputer yang terinfeksi sehingga mereka dapat menginstal malware mereka sendiri. Botnet adalah saluran distribusi utama untuk CryptoLocker, salah satu program ransomware pertama yang mengenkripsi file daripada memblokir desktop komputer.
Operator utama botnet telah dinamai warga Rusia yang masih belum ditangkap, Evgeny Mikhailovich Bogachev. Saat ini, FBI menawarkan hadiah sebesar $ 3 juta untuk informasi yang akan mengarah pada penangkapan Bogachev - ini adalah hadiah terbesar yang ditawarkan untuk peretas.
Keluarga Gozi
Keluarga malware Gozi pantas disebutkan secara terpisah dalam daftar ini karena dampaknya terhadap kondisi malware saat ini, dan tidak harus karena ukuran botnet yang dibuat berdasarkan basisnya (kebanyakan dari mereka kecil, tetapi bekerja banyak. tahun).
Gozi mengembangkan Trojan perbankan
pertama pada tahun 2006 sebagai pesaing langsung untuk Trojan ZeuS dan penawaran MaaS-nya.
Kode sumber Gozi juga bocor secara online (pada 2010), dan segera diadopsi oleh penjahat dunia maya lainnya, yang menciptakan banyak basis Trojan perbankan lain yang telah menduduki ceruk malware dalam sepuluh tahun terakhir.
Meskipun ada beberapa lusin varian malware ini,
Gozi ISFB ,
Vawtrak (Neverquest), dan botnet
GozNym ,
kombinasi dari Gozi IFSB dan Nymain, adalah yang paling stabil.
Hari ini Gozi dianggap usang, karena tidak cocok dengan browser dan OS modern, dan dalam beberapa tahun terakhir telah secara bertahap ditinggalkan.
Grum
Botnet bekerja dari 2008 hingga 2012, dan dibuat menggunakan rootkit dengan nama yang sama. Pada puncaknya, itu mencapai ukuran yang signifikan dari 840.000 komputer yang terinfeksi, sebagian besar menjalankan Windows XP.
Botnet ditutup pada 2012 setelah upaya bersama Spamhaus, Group-IB dan FireEye, meskipun pada saat itu ukurannya telah menurun menjadi 20.000 komputer yang menyedihkan.
Tujuan utama botnet adalah menggunakan komputer yang terinfeksi untuk mengirim puluhan juta pesan spam per hari, terutama dengan obat periklanan dan situs kencan.
Hajime
Botnet muncul pada bulan April 2017 dan masih berfungsi. Ini adalah botnet IoT klasik yang menginfeksi router dan perangkat pintar menggunakan kerentanan yang tidak dikoreksi dan kata sandi yang lemah.
Itu adalah
botnet IoT
pertama yang menggunakan struktur jaringan P2P peer-to-peer. Pada puncaknya, itu mencapai ukuran 300.000 perangkat yang terinfeksi; Namun, dia tidak bisa mempertahankan ukuran seperti itu untuk waktu yang lama, dan botnet lain mulai
menggigit sepotong darinya . Sekarang telah menyusut menjadi 90.000 perangkat.
Dia tidak pernah terlibat dalam serangan DDoS, dan diyakini bahwa penjahat menggunakannya untuk mentransfer lalu lintas yang digunakan jahat atau untuk
memilih kata sandi dari daftar .
Kelihos (Waledac)
Botnet aktif dari 2010 hingga April 2017, ketika pihak berwenang akhirnya
berhasil menutupnya pada upaya keempat - setelah kegagalan pada 2011, 2012 dan 2013.
Pada puncaknya, botnet terdiri dari ratusan ribu bot, tetapi pada saat itu ditutup, hingga 60.000 host terhempas.
Itu adalah botnet spam klasik, menggunakan host yang terinfeksi untuk mengirim kampanye email spam untuk berbagai scammers.
Operator botnet ditangkap pada tahun 2017 di Spanyol dan diekstradisi ke Amerika Serikat, di mana ia mengaku bersalah tahun lalu dan sekarang
sedang menunggu hukuman .
Mirai
Botnet ini
dikembangkan oleh siswa yang marah pada universitas mereka dan berencana melakukan serangan DDoS terhadapnya; Hari ini telah menjadi varian
paling umum dari malware yang bekerja melalui IoT.
Itu dirancang untuk menginfeksi router dan perangkat IoT pintar yang menggunakan kata sandi yang lemah atau tidak menggunakan otorisasi untuk koneksi telnet. Perangkat yang terinfeksi membuat botnet yang dirancang khusus untuk serangan DDoS.
Dia dijalankan secara pribadi selama hampir setahun sampai beberapa serangan menarik terlalu banyak perhatian kepada operatornya. Dalam upaya untuk menyembunyikan jejak, penulis botnet
menerbitkan kode sumbernya , berharap bahwa orang lain akan meningkatkan botnet mereka dan mencegah penegakan hukum melacak sumber aslinya.
Fokus gagal, dan pelepasan kode sumber secara signifikan memperburuk situasi ketika beberapa individu jahat menerima alat yang bebas dan kuat di tangan mereka. Sejak itu, botnet berbasis Mirai telah mengepung server Internet dengan serangan DDoS setiap hari, dan beberapa laporan menunjukkan bahwa jumlah botnet berbasis Mirai yang berbeda melebihi 100.
Sejak publikasi kode sumber botnet pada akhir 2016, penulis botnet lain telah menggunakan kodenya untuk membuat varian malware mereka sendiri. Yang paling terkenal adalah Okiru, Satori, Akuma, Masuta, PureMasuta, Wicked, Sora, Owari, Omni, dan Mirai OMG.
Necurs
Botnet spam yang pertama kali
menarik perhatian saya pada tahun 2012 dan dibuat, menurut beberapa sumber, oleh tim yang sama yang mengelola Trojan Dridex perbankan (yaitu,
TA505 ).
Satu-satunya tujuan botnet adalah menginfeksi komputer Windows dan menggunakannya untuk mengirim spam. Selama masa hidup mereka, botnet telah tertangkap basah melakukan spamming pada berbagai topik:
- Viagra dan obat-obatan,
- obat ajaib
- situs kencan,
- penghasilan di bursa dan cryptocurrency melalui pemompaan dan pembuangan,
- Spam menyebarkan program jahat lainnya - trojan Dridex atau Locky and Bart ransomware.
Botnet mencapai aktivitas puncak pada 2016-2017, ketika dapat ditemukan pada 6-7 juta perangkat. Ini aktif hari ini, tetapi tidak pada skala seperti itu. Berikut adalah
daftar singkat laporan teknis tentang botnet dan beberapa kampanyenya.
Ramnit
Ramnit adalah botnet lain yang dirancang untuk mengontrol Trojan perbankan dengan nama yang sama. Itu muncul pada 2010 dan didasarkan pada kode sumber bocor dari ZeuS Trojan lama.
Dalam versi pertamanya, ia mencapai ukuran 350.000 bot, dan menarik perhatian para pakar keamanan siber dan petugas penegak hukum.
Pihak berwenang
membahas versi pertama pada Februari 2015, tetapi karena mereka tidak dapat menangkap penulisnya, operator bot
muncul lagi beberapa bulan kemudian, dengan botnet baru.
Ini
aktif hari ini , tetapi jangkauannya belum mendekati indikator puncak 2015.
Retadup
Malware Retadup dan botnetnya pertama kali diketahui pada tahun 2017. Itu adalah trojan sederhana yang mencuri data dari berbagai jenis dari host yang terinfeksi dan mengirimkan informasi ke server jauh.
Trojan dipantau untuk sebagian besar hidupnya, sampai pada Agustus 2019 Avast dan polisi Prancis
mengambil langkah aktif untuk menutup botnet dan mengirim salinan program jahat perintah untuk menghapus diri dari semua host yang terinfeksi.
Baru kemudian pihak berwenang tahu bahwa botnet ini cukup besar dan menginfeksi lebih dari 850.000 sistem di seluruh dunia, terutama di Amerika Latin.
Smominru (Hexmen, MyKings)
Botnet Smominru, juga dikenal sebagai MyKings dan Hexmen, saat ini merupakan botnet terbesar yang didedikasikan khusus untuk penambangan kripto.
Dia melakukan ini pada komputer desktop dan server industri, akses yang biasanya diperoleh karena kerentanan sistem yang belum ditambal.
Itu muncul pada tahun 2017 ketika menginfeksi
lebih dari 525.000 komputer yang menjalankan Windows dan menambang sendiri Monero (XMR) senilai lebih dari $ 2,3 juta pada bulan-bulan pertama operasi.
Meskipun penurunan harga cryptocurrency, botnet masih aktif hari ini dan menginfeksi lebih dari 4.700 perangkat setiap hari, dilihat dari
laporan yang diterbitkan musim panas ini.
Trickbot
TrickBot bekerja dengan cara yang sama seperti Emotet. Ini adalah trojan perbankan mantan yang telah menjadi sarana pengiriman malware sesuai dengan skema pembayaran untuk setiap instalasi, dan sekarang menghasilkan uang paling banyak dengan menginstal malware dari kelompok lain di komputer yang terinfeksi.
Botnet pertama kali muncul pada tahun 2016, dan sebagian besar kode versi pertamanya diambil dari Dyre Trojan yang sudah tidak berfungsi. Seiring waktu, sisa-sisa geng Dyre asli menciptakan TrickBot setelah pihak berwenang Rusia membawa beberapa anggota tim ke sirkulasi di tahun yang sama.
Namun, TrickBot tidak berfungsi lama sebagai trojan perbankan. Pada musim panas 2017, perlahan-lahan berubah menjadi sistem pengiriman malware, sekitar waktu yang sama bahwa Emotet sedang mengalami transformasi yang sama.
Meskipun tidak ada bukti bahwa kedua botnet dikelola oleh tim yang sama, mereka jelas berkolaborasi. Geng TrickBot sering kali menyewa akses ke komputer yang sebelumnya terinfeksi oleh Emotet. Tim Emotet memungkinkan Anda melakukan ini, meskipun TrickBot adalah salah satu pesaing utama mereka.Ukuran botnet TrickBot berubah seiring waktu, dari 30.000 menjadi 200.000, tergantung pada sumber informasi dan visibilitas botnet dalam infrastruktur malware.Wirex
Salah satu dari sedikit cerita bagus dalam daftar ini. Botnet ini ditutup hanya satu bulan setelah peluncurannya, setelah beberapa perusahaan dan jaringan pengiriman konten bersama-sama menutup infrastrukturnya.Botnet dibuat menggunakan malware Android WireX, yang tiba-tiba muncul pada bulan Juli 2017 dan menginfeksi lebih dari 120.000 smartphone hanya dalam beberapa minggu.Meskipun sebagian besar malware modern di Android digunakan untuk menampilkan iklan dan klik salah, malware ini berperilaku sangat bising dan digunakan untuk serangan DDoS.Ini segera menarik perusahaan keamanan, dan dengan upaya bersama botnet ditutup pada pertengahan Agustus tahun itu. Berpartisipasi dalam aksi Perusahaan seperti Akamai, Cloudflare, Flashpoint, Google, Oracle Dyn, RiskIQ, dan Team Cymru.ZeroAccess
Botnet ini dibuat menggunakan rootkit dengan nama yang sama. Operatornya menghasilkan uang dengan mengunduh malware lain di komputer yang terinfeksi, dan dengan membuat klik salah pada iklan.Ini pertama kali diketahui pada tahun 2009, dan ditutup pada tahun 2013 sebagai hasil dari operasi yang dipimpin oleh Microsoft.Menurut laporan Sophos, selama seluruh periode keberadaannya, botnet telah menginfeksi lebih dari 9 juta sistem berbasis Windows, dan pada puncak aktivitasnya terdiri dari satu juta perangkat yang terinfeksi, membantu operator memperoleh $ 100.000 sehari.Kumpulan laporan kinerja ZeroAccess dapat ditemukan di Malpedia dan Symantec .