Revista ZDNet vai à lista das maiores redes de bots da década, de Necurs a Mirai
Na última década, um aumento quase constante na atividade de malware foi observado no campo de segurança da informação.
Sem dúvida, os anos 2010 foram uma década de crescimento explosivo de malware, de um estado comum semi-amador a uma operação criminosa de pleno direito, capaz de ganhar centenas de milhões de dólares por ano.
Embora milhares de variantes de malware tenham sido observadas na década de 2010, algumas das botnets se mostraram um corte acima das outras em tamanho e distribuição, atingindo um estado que alguns pesquisadores de segurança chamaram de "super botnets".
Vírus como Necurs, Andrômeda, Kelihos, Mirai ou ZeroAccess ganharam seu nome ao infectar milhões de dispositivos em todo o mundo.
Este artigo tenta resumir informações sobre as maiores redes de bots de todas as que vimos nos últimos dez anos. Como o rastreamento de redes de bots não pode ser 100% eficaz, os listaremos em ordem alfabética, indicando o tamanho do pico calculado no momento do auge.
3ve
O 3ve é considerado o botnet de fraude de
cliques mais avançado. Ele trabalhou de 2013 a 2018, até ser desconectado como resultado de ações coordenadas internacionais, com a ajuda do Google e da empresa White Ops, envolvidas em segurança cibernética.
A botnet contava com uma mistura de scripts maliciosos em execução nos servidores do data center e clica em módulos de fraude carregados em computadores infectados com malware de terceiros, como Methbot e Kovter.
Os operadores da 3ve também criaram sites falsos nos quais os anúncios foram enviados e usaram bots para fazer pseudo-clique nesses anúncios para obter lucro. Acredita-se que, em algum momento, o bot consistisse em 1,5 milhão de computadores domésticos e 1900 servidores, que clicam em anúncios em 10.000 sites falsos.
Andrômeda (gamarue)
O malware Andromeda foi descoberto pela primeira vez em 2011 e é uma botnet típica para o download de spam e malware - esse esquema também é conhecido como Mala como serviço (MaaS).
Por isso, chamamos esses sistemas maliciosos, em que os atacantes enviam spam a um grande número de usuários para infectá-los com uma variedade do vírus Andromeda (Gamarue). Em seguida, os atacantes usam hosts infectados para enviar novos spams de e-mail a outros usuários, o que estende e dá suporte à botnet no modo de trabalho, ou baixa o malware do segundo estágio da ação por ordem de outros grupos.
As botnets MaaS que oferecem a capacidade de instalar programas de terceiros são os mais lucrativos dos esquemas criminais, e os atacantes usam vários tipos de malware para organizar a infraestrutura de back-end dessa operação.
O Andromeda é uma das variantes desse malware que é popular há vários anos. O segredo do sucesso é que o código-fonte de Andrômeda vazou on-line, o que permitiu que vários grupos criminosos levantassem suas próprias redes de bots e experimentassem crimes cibernéticos.
Ao longo dos anos, as empresas de segurança cibernética localizaram várias quadrilhas criminosas que trabalham com a botnet de Andrômeda. O maior deles infectou dois milhões de hosts e foi
fechado pela Europol em dezembro de 2017.
Bamital
O Bamital é um botnet de publicidade que funcionou de 2009 a 2013. Foi fechado em conjunto pela Microsoft e Symantec.
Em um host infectado, a Bamital falsificou os resultados da pesquisa inserindo conteúdo e links especiais, redirecionando os usuários para sites perigosos, oferecendo o download de programas com programas maliciosos incorporados.
Acredita-se que o Bamital tenha infectado mais de 1,8 milhão de computadores.
Bashite
O Bashlite, também conhecido como Gafgyt, Lizkebab, Qbot, Torlus e LizardStresser, é uma espécie de malware projetada para infectar roteadores WiFi domésticos mal protegidos, dispositivos inteligentes e servidores Linux. O principal e único papel de uma botnet é executar
ataques DDoS .
O malware foi criado em 2014 por membros do grupo de hackers Lizard Squad e seu código vazou para a rede em 2015.
Devido a um vazamento, esse programa é frequentemente usado nas botnets DDoS atuais e é o segundo malware mais popular na
área de IoT, depois do Mirai. Hoje, existem centenas de variedades de bashite.
Bayrob
O botnet Bayrob esteve ativo de 2007 a 2016. Seu objetivo mudou com o tempo. Na primeira versão, o malware foi usado como uma ferramenta auxiliar para a fraude do eBay.
No entanto, depois que o eBay e outros sites cobriram essa possibilidade, a gangue Bayrob melhorou sua botnet e a transformou em uma ferramenta para enviar spam e mineração de criptomoedas em meados de 2010, quando, como dizem, conseguiu infectar pelo menos 400.000 computadores.
Ele foi coberto em 2016, quando os autores foram pegos na Romênia e extraditados para os Estados Unidos. Os dois principais desenvolvedores foram
plantados recentemente por 18 e 20 anos, respectivamente.
Bredolab
Acredita-se que o Bredolab tenha infectado 30 milhões de computadores com Windows (uma quantidade incrível) de 2009 a novembro de 2010, quando foi coberto pela polícia holandesa, confiscando mais de 140 de seus servidores de controle.
A botnet foi criada por um autor de malware armênio, que usava correspondências de spam e downloads ocultos para infectar usuários. Após a infecção, os computadores dos usuários foram usados para enviar spam.
Carna
Essa botnet não pode ser chamada de "malware". Foi criado por um hacker desconhecido para realizar um censo online. Em 2012, ele infectou mais de 420.000 roteadores da Internet e simplesmente coletou estatísticas diretamente dos usuários, sem a permissão deles.
Ele infectou roteadores que não usavam uma senha ou cuja segurança dependia de senhas padrão ou fáceis de adivinhar. Alguns anos depois, essa tática foi adotada pela botnet Mirai para realizar ataques DDoS.
Camaleão
Chameleon era um botnet de curta duração operando em 2013. Este é um dos tipos raros de botnets com publicidade fraudulenta. Seus autores
infectaram mais de 120.000 usuários. Ele abriu o malware em segundo plano no Internet Explorer e foi para sites usando uma lista de 202 pontos em que os anúncios eram exibidos. Isso ajudou os autores de botnets a ganhar até US $ 6,2 milhões por mês.
Coreflood
O Coreflood é uma das ameaças esquecidas da Internet. Ele apareceu em 2001 e foi
fechado em 2011. Acredita-se que tenha infectado mais de 2,3 milhões de computadores Windows e, no momento do seu fechamento em junho de 2011, mais de 800.000 bots estavam trabalhando no mundo.
Os operadores do Coreflood usavam sites de interceptação para infectar os computadores dos usuários usando uma técnica chamada drive-by download. Após a infecção, o bot baixou outro malware mais poderoso. O Coreflood desempenhou o papel típico de um downloader de malware.
Dridex
A Dridex é uma das botnets mais famosas da atualidade. Botnet malicioso e relacionado existe desde 2011. Inicialmente, o projeto foi chamado Cridex, e depois evoluiu e ganhou o nome Dridex (às vezes também é chamado de Bugat).
O Dridex é um cavalo de Troia bancário que rouba detalhes bancários e dá aos hackers acesso a contas bancárias, mas também possui um componente que rouba outras informações.
Normalmente, esse malware é distribuído por e-mails de spam com arquivos anexados a eles. Segundo alguns relatos, o mesmo grupo que criou o Dridex também gerencia a botnet de spam Necurs. Essas duas botnets possuem trechos de código semelhantes, e o spam que espalha o Dridex sempre passa pela botnet da Necurs.
Um dos principais criadores do Dridex foi
preso em 2015, mas a botnet continua trabalhando até hoje.
O tamanho da botnet (o número de computadores infectados) mudou drasticamente ao longo dos anos. O site da Malpedia, nas páginas dedicadas às
redes de bot Dridex e
TA505 , armazena uma pequena parte de centenas de relatórios sobre a operação da Dridex, que mostra o quanto a botnet esteve ativa durante esta década.
Emotet
Emotet foi conhecido pela primeira vez em 2014. Inicialmente, ele trabalhou como trojan bancário, mas depois mudou seu papel para provedor de outro malware em 2016 e 2017.
Hoje, o Emotet é a maior operação de MaaS do mundo, e os criminosos costumam usá-lo para obter acesso a redes corporativas onde hackers podem roubar arquivos ou instalar programas de ransomware que criptografam dados confidenciais e chantageiam empresas com grandes demandas de resgate.
O tamanho do botnet varia de semana para semana. Além disso, o Emotet trabalha com três pequenas “eras” (mini-botnets), que ajudam a evitar o fechamento devido ao trabalho coordenado das agências policiais, além de testar várias ações antes de uma implementação em larga escala.
A botnet também é conhecida como Geodo, e seus recursos técnicos são cuidadosamente
documentados . Abaixo está um diagrama dos recursos de botnet no momento da redação, compilado pelo Sophos Labs.
Festi
A botnet Festi foi criada usando o
rootkit de mesmo nome. Ele trabalhou de 2009 a 2013, após o que sua atividade se tornou gradualmente por conta própria.
Na melhor das hipóteses, em 2011 e 2012, a botnet infectou mais de 250.000 computadores e podia enviar mais de 2,5 bilhões de e-mails de spam diariamente.
Além dos recursos bem
documentados para spam, às vezes a botnet estava envolvida em ataques DDoS, o que a coloca entre as raras botnets baseadas no Windows que já participaram disso.
Ele também é conhecido como
Topol-Mailer .
Algumas fontes atribuem a criação da botnet ao programador russo Igor Artimovich.
Gameover ZeuS
A botnet funcionou de 2010 a 2014, após o qual sua infraestrutura foi confiscada por agências internacionais de aplicação da lei.
A botnet estava passando pela infecção de computadores com o Trojan Gameover ZeuS bancário, criado com base no código-fonte do Trojan ZeuS vazado na rede. Acredita-se que ele tenha infectado até um milhão de dispositivos.
Além de roubar informações bancárias dos hosts infectados, o Gameover ZeuS também forneceu acesso a outros criminosos cibernéticos aos computadores infectados, para que eles pudessem instalar seu próprio malware. A botnet era o principal canal de distribuição do CryptoLocker, um dos primeiros programas de ransomware que criptografa arquivos em vez de bloquear a área de trabalho do computador.
O principal operador da rede de bots foi nomeado o cidadão russo ainda não preso Evgeny Mikhailovich Bogachev. Atualmente, o FBI está oferecendo uma recompensa de US $ 3 milhões por informações que levarão à prisão de Bogachev - essa é a maior recompensa oferecida aos hackers.
Família Gozi
A família de malware Gozi merece uma menção separada nesta lista por causa do impacto que tem no estado atual do malware, e não necessariamente por causa do tamanho das redes de bots criadas com base em sua base (a maioria era pequena, mas funcionava muito anos).
A Gozi desenvolveu o
primeiro Trojan bancário em 2006 como concorrente direto do Trojan ZeuS e de suas ofertas de MaaS.
O código-fonte do Gozi também vazou online (em 2010) e foi imediatamente adotado por outros cibercriminosos, que criaram com base em muitos outros Trojans bancários que ocuparam o nicho de malware nos últimos dez anos.
Embora houvesse várias dezenas de variantes desse malware, o
Gozi ISFB , o
Vawtrak (Neverquest) e o botnet
GozNym , uma
combinação do Gozi IFSB e Nymain, eram os mais estáveis.
Hoje, o Gozi é considerado obsoleto, porque não se dá bem com navegadores e sistemas operacionais modernos e, nos últimos anos, foi gradualmente abandonado.
Grum
A botnet funcionou de 2008 a 2012 e foi criada usando o rootkit de mesmo nome. No auge, atingiu um tamanho significativo de 840.000 computadores infectados, a maioria executando o Windows XP.
A botnet foi fechada em 2012 após os esforços conjuntos da Spamhaus, do Group-IB e da FireEye, embora naquele momento seu tamanho tenha diminuído para uns miseráveis 20.000 computadores.
O principal objetivo da botnet era usar computadores infectados para enviar dezenas de milhões de mensagens de spam por dia, principalmente com drogas de publicidade e sites de namoro.
Hajime
A botnet apareceu em abril de 2017 e ainda está funcionando. Este é um botnet IoT clássico que infecta roteadores e dispositivos inteligentes usando vulnerabilidades não corrigidas e senhas fracas.
Foi a
primeira botnet IoT a usar uma estrutura de rede P2P ponto a ponto. No auge, atingiu o tamanho de 300.000 dispositivos infectados; no entanto, ele não conseguiu manter esse tamanho por um longo tempo e outras botnets começaram a
morder um pedaço dele . Agora diminuiu para 90.000 dispositivos.
Ele nunca se envolveu em ataques DDoS e acredita-se que os criminosos o usaram para transferir tráfego usado com intuito malicioso ou para
selecionar senhas de uma lista .
Kelihos (Waledac)
A botnet estava ativa de 2010 a abril de 2017, quando as autoridades finalmente
conseguiram fechá-la na quarta tentativa - após falhas em 2011, 2012 e 2013.
No seu auge, o botnet consistia em centenas de milhares de bots, mas, quando foi fechado, até 60.000 hosts foram destruídos.
Era um botnet de spam clássico, usando hosts infectados para enviar campanhas de email de spam para vários golpistas.
O operador de botnet foi preso em 2017 na Espanha e extraditado para os Estados Unidos, onde se declarou culpado no ano passado e agora
aguarda sentença .
Mirai
Essa botnet foi
desenvolvida por estudantes que estavam zangados com a universidade e planejavam realizar ataques DDoS contra ela; Hoje, tornou-se a variante
mais comum de malware que trabalha com a IoT.
Ele foi projetado para infectar roteadores e dispositivos IoT inteligentes que usam senhas fracas ou não usam autorização para conexões telnet. Os dispositivos infectados compõem uma botnet projetada especificamente para ataques DDoS.
Ele foi executado em privado por quase um ano, até que alguns ataques atraíram muita atenção para seus operadores. Em uma tentativa de esconder a trilha, os autores da botnet
publicaram seu
código-fonte , esperando que outras pessoas aumentassem suas redes de bots e impedissem que a polícia rastreie a origem do original.
O foco falhou e o lançamento do código fonte piorou significativamente a situação quando vários indivíduos mal-intencionados receberam uma ferramenta gratuita e poderosa em suas mãos. Desde então, as redes de bots baseadas em Mirai sitiam servidores da Internet com ataques DDoS diariamente, e alguns relatórios indicam que o número de diferentes redes de bots baseadas em Mirai excede 100.
Desde a publicação do código-fonte da botnet no final de 2016, autores de outras botnets usaram seu código para criar suas próprias variantes de malware. Os mais famosos deles são Okiru, Satori, Akuma, Masuta, PureMasuta, Wicked, Sora, Owari, Omni e Mirai OMG.
Necurs
Uma botnet de spam que me
chamou a atenção em 2012 e foi criada, segundo algumas fontes, pela mesma equipe que gerencia o Trojan Dridex bancário (ou seja,
TA505 ).
O único objetivo da botnet é infectar os computadores Windows e usá-los para enviar spam. Durante sua vida útil, as botnets foram capturadas como spam em vários tópicos:
- Viagra e medicamentos,
- curas mágicas
- sites de namoro,
- ganhos na troca e criptomoeda por bombeamento e dumping,
- Spam espalhando outros programas maliciosos - um Trojan Dridex ou um ransomware Locky and Bart.
A botnet atingiu o pico de atividade em 2016-2017, quando foi encontrada em 6-7 milhões de dispositivos. Está ativo hoje, mas não nessa escala. Aqui está uma
pequena lista de relatórios técnicos sobre a botnet e algumas de suas campanhas.
Ramnit
O Ramnit é outro botnet projetado para controlar o Trojan bancário de mesmo nome. Ele apareceu em 2010 e foi baseado no código-fonte vazado do antigo Trojan ZeuS.
Em sua primeira versão, atingiu o tamanho de 350.000 bots e atraiu a atenção de especialistas em segurança cibernética e policiais.
As autoridades
cobriram a primeira versão em fevereiro de 2015, mas como não puderam prender seus autores, os operadores de bots
apareceram novamente alguns meses depois, com uma nova botnet.
Está
ativo hoje , mas sua cobertura ainda não chegou perto dos indicadores de pico de 2015.
Retadup
O malware Retadup e sua botnet foram notados pela primeira vez em 2017. Era um cavalo de Troia simples que rouba dados de vários tipos de hosts infectados e envia informações para um servidor remoto.
O Trojan foi monitorado durante a maior parte de sua vida, até agosto de 2019, e o Avast e a polícia francesa
tomaram medidas ativas para fechar a botnet e enviaram uma cópia do programa malicioso um comando para se removerem de todos os hosts infectados.
Somente então as autoridades souberam que essa botnet era grande o suficiente e infectou mais de 850.000 sistemas em todo o mundo, principalmente na América Latina.
Smominru (Hexmen, MyKings)
A botnet Smominru, também conhecida como MyKings e Hexmen, é atualmente a maior botnet dedicada exclusivamente à mineração de criptografia.
Ele faz isso em computadores desktop e servidores industriais, cujo acesso geralmente é obtido devido a vulnerabilidades de sistemas sem patch.
Ele apareceu em 2017 quando infectou
mais de 525.000 computadores executando o Windows e extraiu o Monero (XMR) no valor de mais de US $ 2,3 milhões nos primeiros meses de operação.
Apesar da queda nos preços das criptomoedas, a botnet ainda está ativa hoje e infecta mais de 4.700 dispositivos diariamente, a julgar pelo
relatório publicado neste verão.
Trickbot
O TrickBot funciona da mesma maneira que o Emotet. Este é um antigo Trojan bancário que se tornou um meio de fornecer malware de acordo com o esquema de pagamento de cada instalação, e agora ganha mais dinheiro instalando malware de outros grupos em computadores infectados.
A botnet apareceu pela primeira vez em 2016, e grandes seções do código, suas primeiras versões, foram retiradas do Dyre Trojan, que já não estava funcionando. Com o tempo, os remanescentes da gangue Dyre original criaram o TrickBot depois que as autoridades russas levaram vários membros da equipe a circular no mesmo ano.
No entanto, o TrickBot não funcionou por muito tempo como um Trojan bancário. No verão de 2017, lentamente se transformou em um veículo de entrega de malware, na mesma época em que Emotet estava passando por uma transformação semelhante.
Embora não haja evidências de que ambas as botnets sejam gerenciadas pela mesma equipe, elas estão claramente colaborando. A turma do TrickBot geralmente concede acesso a computadores que foram infectados anteriormente pelo Emotet. A equipe do Emotet permite que você faça isso, mesmo que o TrickBot seja um dos principais concorrentes.O tamanho da botnet do TrickBot mudou ao longo do tempo, de 30.000 para 200.000, dependendo da fonte de informações e da visibilidade da botnet na infraestrutura de malware.Wirex
Uma das poucas boas histórias nesta lista. Essa botnet foi fechada apenas um mês após seu lançamento, depois que várias empresas e redes de entrega de conteúdo fecharam sua infraestrutura em conjunto.A botnet foi criada usando o malware WireX Android, que apareceu de repente em julho de 2017 e infectou mais de 120.000 smartphones em apenas algumas semanas.Embora a maioria dos malwares modernos no Android seja usada para exibir anúncios e cliques falsos, esse botnet se comportava extremamente barulhento e era usado para ataques DDoS.Isso atraiu imediatamente as empresas de segurança e, com um esforço conjunto, a botnet fechou em meados de agosto daquele ano. Participou da ação Empresas como Akamai, Cloudflare, Flashpoint, Google, Oracle Dyn, RiskIQ e Team Cymru.ZeroAccess
Essa botnet foi criada usando o rootkit com o mesmo nome. Seus operadores ganhavam dinheiro baixando outros malwares em computadores infectados e fazendo cliques falsos em anúncios.Foi notado pela primeira vez em 2009 e fechado em 2013 como resultado de uma operação liderada pela Microsoft.De acordo com o relatório da Sophos, durante todo o período de sua existência, a botnet infectou mais de 9 milhões de sistemas baseados no Windows e, no pico da atividade, consistia em um milhão de dispositivos infectados, ajudando as operadoras a ganhar US $ 100.000 por dia.Uma coleção de relatórios de desempenho do ZeroAccess pode ser encontrada na Malpedia e na Symantec .