Uma década de malware: as principais botnets dos anos 2010

Views: 254
0 0
Read Time:19 Minute, 44 Second

Na última década, o campo de segurança da informação (infosec) registrou um aumento quase constante na atividade de malware.

Sem dúvida, a década de 2010 foi a década em que o malware explodiu de uma paisagem semi-ammateriush casual para uma operação criminosa completa, capaz de gerar centenas de milhões de dólares por ano para os atores envolvidos.

Embora existissem milhares de tipos de malware ativos nos anos 2010, algumas redes de bots de malware subiram acima do restante em termos de extensão e tamanho, equivalendo ao que alguns pesquisadores de segurança chamariam de “super botnets”.

Cepas de malware como Necurs, Andromeda, Kelihos, Mirai ou ZeroAccess fizeram seu nome depois de terem infectado milhões de dispositivos em todo o mundo.

Este artigo tem como objetivo resumir as maiores botnets de malware que vimos nos últimos dez anos. Como o rastreamento de redes de bots nunca é uma operação 100% precisa, vamos listar as redes de bots em ordem alfabética e mencionar seu tamanho de pico, conforme relatado na época.


3VE

O 3ve é considerado o botnet de fraude de cliques mais avançado já montado. Operou de 2013 a 2018, quando foi desmontado por uma ação internacional de aplicação da lei, com a ajuda do Google e da empresa de segurança cibernética White Ops.

A botnet contava com uma mistura entre scripts maliciosos executados em servidores hospedados em data centers e módulos de fraude por clique carregados em computadores infectados com malware de terceiros, como Methbot e Kovter.

Se a corrida entre os gigantes corporativos Amazon, Microsoft e Walmart para criar experiências de compras totalmente automatizadas for alguma indicação, o varejo poderá parecer muito diferente no futuro próximo.

Mas os consumidores estão prontos para mudanças na experiência do tijolo e argamassa? Descubra o que os consumidores estão usando durante as compras, se tornou a experiência de compra mais fácil (ou mais difícil) e quais informações os consumidores estão dispostos a desistir em troca de promoções ou descontos especiais.Downloads fornecidos por TechRepublic.com

Os operadores da 3ve também criaram sites falsos onde carregavam anúncios e usavam os bots para clicar em anúncios e gerar lucros. A certa altura, acredita-se que a botnet tenha sido composta por mais de 1,5 milhão de computadores domésticos e 1.900 servidores clicando em anúncios carregados em mais de 10.000 sites falsos.


ANDRÔMEDA (GAMARUE)

O malware Andromeda foi visto pela primeira vez em 2011, e é o seu botnet “download de spam e malware” típico – também conhecido como esquema de malware como serviço (MaaS).

Por esse termo, estamos nos referindo a um tipo de operação de malware em que criminosos são usuários de spam em massa para infectá-los com a variedade de malware Andromeda (Gamarue). Os criminosos então usam esses hosts infectados para enviar novos spams de e-mail a outros usuários e expandir ou manter a botnet ativa, ou baixam uma variedade de malware de segundo estágio a pedido de outras gangues de malware (pagantes).

As botnets MaaS que fornecem “espaço de instalação” são alguns dos esquemas cibercriminosos mais lucrativos do mercado, e os criminosos podem usar diferentes tipos de malware para configurar a infraestrutura de back-end para essa operação.

O Andromeda é um desses tipos de tipos de malware e tem sido muito popular ao longo dos anos. A razão do seu sucesso é que o código-fonte da Andrômeda vazou on-line, alguns anos atrás, e permitiu que várias quadrilhas criminosas montassem sua própria botnet e experimentassem o “crime cibernético”.

Ao longo dos anos, empresas de cibersegurança rastrearam várias quadrilhas criminosas que operam uma botnet em Andrômeda. O maior conhecido até o momento atingiu dois milhões de hosts infectados e foi encerrado pela Europol em dezembro de 2017 .

Os leitores podem encontrar uma coleção de relatórios infosec sobre o malware Andromeda na página Malpedia , além deste e deste .


BAMITAL

O Bamital é um botnet de adware que operou entre 2009 e 2013. Foi retirado após um esforço conjunto da Microsoft e da Symantec .

Em hosts infectados, o malware Bamital modificava os resultados da pesquisa para inserir links e conteúdo personalizados, geralmente redirecionando usuários para sites maliciosos que ofereciam downloads vinculados a malware.

Acredita-se que o Bamital tenha infectado mais de 1,8 milhão de computadores.


BASHLITE

O Bashlite, também conhecido sob nomes como Gafgyt, Lizkebab, Qbot, Torlus e LizardStresser, é uma variedade de malware projetada para infectar roteadores domésticos Wi-Fi mal protegidos, dispositivos inteligentes e servidores Linux.

Sua principal e única função é realizar ataques DDoS.

O malware foi criado em 2014 por membros do grupo de hackers Lizard Squad e seu código vazou online em 2015.

Devido a esse vazamento, o malware costuma ser usado para hospedar a maioria das botnets DDoS atuais e é frequentemente a segunda linhagem de malware de IoT mais popular, atrás da Mirai. Atualmente, existem centenas de variações de bashite.


BAYROB

O botnet de malware Bayrob estava ativo entre 2007 e 2016. O objetivo do botnet evoluiu ao longo do tempo. Em sua versão inicial, o malware Bayrob foi usado para ajudar hackers a realizar golpes no eBay.

Mas como o eBay e outros reprimiram esse tipo de fraude online, a gangue Bayrob evoluiu seu malware ao longo dos anos e o transformou em um botnet de spam e mineração de criptografia em meados de 2010, quando se dizia que o botnet havia infectado pelo menos 400.000 computadores.

Toda a operação foi encerrada em 2016, quando os autores do malware foram presos na Romênia e depois extraditados para os EUA. Os dois principais desenvolvedores por trás da botnet foram recentemente condenados a 18 e 20 anos de prisão, respectivamente.

Você pode ler toda a história da gangue de malware Bayrob em um recurso especial que executamos no início deste ano.


BREDOLAB

Acredita-se que a botnet Bredolab tenha infectado 30 milhões de computadores Windows entre 2009 e novembro de 2010, a data de sua retirada, quando as autoridades holandesas apreenderam mais de 140 de seus servidores de comando e controle .

A botnet foi criada por um autor de malware armênio, que usava e-mails com spam e downloads drive-by para infectar os usuários com o malware Bredolab. Uma vez infectados, os computadores das vítimas seriam usados ​​para enviar grandes quantidades de spam.


CARNA

O botnet Carna não é o que você chamaria de “malware”. Este foi um botnet criado por um hacker anônimo com o objetivo de executar um censo na Internet.

Ele infectou mais de 420.000 roteadores da Internet em 2012 e apenas coletou estatísticas sobre o uso da Internet diretamente dos usuários … e sem permissão.

Ele infectou roteadores que não usavam uma senha ou estavam protegidos com senhas padrão ou fáceis de adivinhar – uma tática armada para ataques DDoS maliciosos quatro anos depois pela botnet Mirai.

Você pode aprender mais sobre Carna na página da Wikipedia da botnet ou neste episódio de podcast do Darknet Diaries .


CAMALEÃO

Chameleon foi um botnet de curta duração que operou em 2013. É um dos raros botnets de fraude de anúncios nesta lista.

Segundo relatos da época , os autores da botnet infectaram mais de 120.000 usuários com o malware Chameleon. Esse malware abriria uma janela do Internet Explorer em segundo plano e navegaria para uma lista de 202 sites, onde provocaria impressões de anúncios que ajudaram os autores da botnet a gerar receita de até US $ 6,2 milhões por mês.

A botnet parou de funcionar após ser demitida publicamente.


COREFLOOD

Coreflood é uma das ameaças esquecidas da Internet. Ele apareceu em 2001 e foi encerrado em 2011 .

Acredita-se que a botnet tenha infectado mais de 2,3 milhões de computadores Windows, com mais de 800.000 bots no momento em que foi desativado em junho de 2011.

Os operadores do Coreflood usavam sites com armadilha para infectar os computadores dos usuários por meio de uma técnica chamada drive-by download . Depois que a vítima foi infectada, eles usaram o Coreflood para baixar outro malware mais potente – o Coreflood funcionando como um típico “conta-gotas / downloader de malware”.

Para obter uma descrição de seus recursos técnicos, consulte a análise técnica Coreflod da Symantec .


DRIDEX

Dridex é uma das botnets mais infames da atualidade. O malware Dridex e a botnet associada existem desde 2011, sendo inicialmente conhecido como Cridex, antes de evoluir para a atual variedade Dridex (às vezes também chamada de Bugat).

O malware Dridex é principalmente um trojan bancário que rouba credenciais bancárias e concede acesso de hackers a contas bancárias, mas também vem com um componente de ladrão de informações.

O malware geralmente é distribuído via mal-spam (e-mails com anexos de arquivos maliciosos). Houve vários relatos de que o grupo que criou o Dridex também executa a botnet de spam Necurs. Existem semelhanças de código entre as duas linhagens de malware, e o spam que espalha o Dridex é sempre distribuído via botnet de spam da Necurs.

Um dos principais codificadores Dridex foi preso em 2015 , mas a botnet Dridex continuou a operar e ainda está ativa hoje.

O tamanho da botnet (número de computadores infectados com o malware Dridex) variou bastante ao longo dos anos e entre fornecedores. As páginas Dridex e TA505 Malpedia listam uma fração das centenas de relatórios da Dridex, mostrando o quão imensamente ativo esse botnet tem sido nesta década.


EMOTET

O Emotet foi visto pela primeira vez em 2014. Inicialmente funcionava como um cavalo de Troia bancário, mas se transformou em um conta-gotas de malware para outras operações de crimes cibernéticos em 2016 e 2017.

Hoje, o Emotet é a principal operação MaaS do mundo e é frequentemente usado para permitir que criminosos acessem redes corporativas, onde hackers podem roubar arquivos proprietários ou instalar ransomware para criptografar dados confidenciais e, posteriormente, extorquir empresas por grandes somas de dinheiro.

O tamanho do botnet varia de semana para semana. O Emotet também opera por meio de três “épocas” (mini-botnets) menores, para evitar quedas coordenadas da polícia e testar várias ações antes de uma implantação mais ampla.

O malware Emotet também é conhecido como Geodo, e seus recursos técnicos foram amplamente documentados . O infográfico abaixo fornece uma visão atualizada dos recursos da Emotet, no momento da redação deste artigo, cortesia da Sophos Labs .

emotet-infographic.png
Imagem: Sophos

FESTI

O botnet Festi foi construído com a ajuda do rootkit homônimo de Festi . A botnet estava ativa entre 2009 e 2013, quando a atividade da botnet desapareceu lentamente por conta própria.

Durante seu pico em 2011 e 2012, acredita-se que a botnet tenha infectado mais de 250.000 computadores e foi capaz de enviar mais de 2,5 bilhões de e-mails de spam por dia.

Além de seus recursos de spam bem documentados , a botnet também foi usada para realizar ataques DDoS em raras ocasiões, sendo uma das raras botnets baseadas no Windows que fizeram isso.

A botnet também era conhecida como Topol-Mailer . Várias fontes identificaram o programador russo Igor Artimovich como o criador da botnet [ 1 , 2 ].


GAMEOVER ZEUS

O Gameover ZeuS é um botnet de malware que operou entre 2010 e 2014, quando sua infraestrutura foi apreendida pela polícia internacional .

A botnet foi montada infectando computadores com o Gameover ZeuS, um trojan bancário criado com base no código-fonte vazado do trojan ZeuS. Acredita-se que o Gameover ZeuS tenha infectado até um milhão de dispositivos.

Além de roubar informações bancárias de hosts infectados, a gangue Gameover Zeus também ofereceu acesso a hosts infectados a outros grupos de crimes cibernéticos, para que eles pudessem instalar seu próprio malware. A botnet Gameover ZeuS foi o principal distribuidor do CryptoLocker, uma das primeiras variedades de ransomware que criptografaram arquivos, em vez de bloquear a área de trabalho do usuário.

O principal operador da botnet foi identificado como um homem russo chamado Evgeniy Mikhailovich Bogachev, ainda em liberdade na Rússia. Atualmente, o FBI está oferecendo uma recompensa de US $ 3 milhões por informações que levem à prisão de Bogachev, a maior recompensa que o FBI está oferecendo a qualquer hacker.


FAMÍLIA GOZI

A família de malware Gozi merece uma menção nesta lista, principalmente devido ao impacto que teve no cenário atual de malware, e não necessariamente devido ao tamanho das redes de bots que foram criadas (a maioria das quais muito pequena, mas persistente em todas as os anos).

O Trojan bancário Gozi original foi desenvolvido em 2006 como um concorrente direto do Trojan ZeuS e de sua oferta de Malware como Serviço.

Assim como o ZeuS, o código-fonte do Gozi vazou on-line (em 2010) e foi imediatamente adotado por outras gangues de criminosos cibernéticos, que o incorporaram e reutilizaram para criar vários outros trojans bancários que atormentavam o cenário de malware na última década.

Embora existam dezenas de tipos de malware baseados em Gozi, os mais persistentes de todos foram a versão ISFB do Gozi , a variante Vawtrak (Neverquest) e a botnet GozNym – uma combinação entre o Gozi IFSB e o Nymain .

Atualmente, o Gozi é considerado desatualizado, principalmente porque não é um bom presságio para navegadores e sistemas operacionais modernos e foi lentamente abandonado nos últimos anos.


GRUM

O botnet Grum operou entre 2008 e 2012 e foi construído usando a variedade de malware de rootkit de mesmo nome. No auge, a botnet atingiu um tamanho enorme de 840.000 computadores infectados , a maioria composta de sistemas Windows XP.

A botnet foi encerrada em 2012 após um esforço conjunto da Spamhaus, do Group-IB e da FireEye, embora, nessa época, o tamanho da botnet tivesse caído para 20.000 .

O objetivo principal da Grum era usar computadores infectados para enviar dezenas de milhões de mensagens de spam por dia, principalmente para produtos farmacêuticos e sites de namoro.


HAJIME

A botnet do Hajime apareceu em abril de 2017 e ainda está ativa hoje. É a sua botnet IoT clássica que infecta roteadores e dispositivos inteligentes por meio de vulnerabilidades não corrigidas e senhas fracas.

A botnet foi a primeira botnet da IoT a usar uma estrutura P2P (ponto a ponto) entre todas as botnets da IoT. Durante seu pico, a botnet atingiu um tamanho de 300.000 dispositivos infectados; no entanto, ele não conseguiu manter sua massa por muito tempo e outras redes de bots mastigaram de lado , e a rede de bots agora encolheu para um tamanho de cerca de 90.000 dispositivos, em média.

A botnet nunca foi vista se engajando em ataques DDoS e acredita-se que criminosos a estejam usando para proxy de tráfego malicioso ou realizar ataques de preenchimento de credenciais.


KELIHOS (WALEDAC)

O botnet Kelihos, também conhecido como Waleac, estava ativo entre 2010 e abril de 2017, quando as autoridades finalmente conseguiram derrubá-lo em sua quarta tentativa, depois de terem falhado em 2011 , 2012 e 2013 .

O botnet atingiu o pico de algumas centenas de milhares de bots, mas diminuiu para cerca de 60.000 bots no momento em que foi retirado.

Quanto ao seu modus operandi, o Kelihos era o seu botnet de spam clássico, usando bots infectados para enviar campanhas de spam por email em nome de vários fraudadores ou operações de malware.

O operador de botnet Kelihos foi preso em 2017 na Espanha e extraditado para os EUA, onde se declarou culpado no ano passado e agora aguarda sentença.


MIRAI

Desenvolvido por estudantes irritados para que eles pudessem lançar ataques DDoS contra sua universidade e servidores Minecraft, o malware Mirai se tornou a variedade de malware de IoT mais difundida atualmente.

O malware foi projetado para infectar roteadores e dispositivos IoT inteligentes que usam credenciais de logon Telnet fracas ou inexistentes. Os dispositivos infectados são montados em uma botnet projetada especificamente para iniciar ataques DDoS.

A botnet foi operada em particular por quase um ano antes de uma série de ataques DDoS chamar muita atenção para seus operadores. Em uma tentativa de esconder suas faixas, os autores divulgaram o código-fonte da Mirai ao público , esperando que outros criem suas próprias redes de bots Mirai e impeçam a aplicação da lei de rastrear sua botnet original.

O plano não teve sucesso e o lançamento público do código piorou as coisas muitas vezes, pois vários atores de ameaças obtiveram acesso a uma poderosa ferramenta de graça. Desde então, as botnets baseadas na Mirai têm atormentado os servidores da Internet com ataques DDoS diariamente, com alguns relatórios informando o número de diferentes botnets da Mirai ativas ao mesmo tempo em mais de 100.

Desde o lançamento público da fonte Mirai no final de 2016, outros autores de malware usaram o código Mirai para criar suas próprias variantes personalizadas, sendo as mais conhecidas Okiru, Satori, Akuma, Masuta, PureMasuta, Wicked, Sora, Owari, Omni. e Mirai OMG.


NECURS

O Necurs é um botnet de spam que foi visto pela primeira vez em 2012 e acredita-se que ele tenha sido criado pela mesma equipe que administra o trojan bancário Dridex (a equipe TA505 ).

O único objetivo da botnet é infectar os computadores com Windows e usá-los para enviar email de spam. Ao longo de sua vida útil, a botnet foi vista enviando spam para todos os tipos de esquemas:

– Spam de Viagra e pharma
– curas milagrosas
– spam de sites de namoro
– esquemas de bombeamento e despejo de ações /
criptomoedas – spam de spam espalhando outros malwares – como o Trojan bancário Dridex, o ransomware Locky ou o ransomware Bart

A botnet atingiu seu pico em 2016-2017, quando pode ser encontrada em cerca de 6-7 milhões de dispositivos em uma base mensal. A botnet ainda está viva hoje, mas não é tão ativa quanto há alguns anos atrás. Aqui está uma pequena lista de relatórios técnicos sobre a botnet Necurs e algumas de suas campanhas.


RAMNIT

O Ramnit é mais um botnet criado para controlar o trojan bancário de mesmo nome. Ele apareceu em 2010 e foi baseado no código-fonte vazado do antigo Trojan bancário ZeuS.

Em sua primeira encarnação, a botnet atingiu um tamanho de 350.000 bots, o que chamou a atenção de fornecedores de segurança cibernética e policiais.

As autoridades afundaram a primeira versão em fevereiro de 2015, mas como não conseguiram prender seus criadores, os operadores do Ramnit ressurgiram com uma nova botnet alguns meses depois.

Ramnit ainda está ativo hoje , mas nem perto dos números em que estava no auge, em 2015.


retadup-infecção-map.png
Imagem: Avast

RETADUP

O malware Retadup e sua botnet foram vistos pela primeira vez em 2017. Era um Trojan básico de ladrão de informações que roubava vários tipos de dados de hosts infectados e enviava as informações para um servidor remoto.

O Trojan Retadup ficou sob o radar durante a maior parte de sua vida até agosto deste ano, quando a Avast e a polícia francesa interveio para derrubar a botnet e instruir o malware a se auto-excluir de todos os hosts infectados.

Só então as autoridades descobriram que o Retadup havia sido uma operação em grande escala, infectando mais de 850.000 sistemas em todo o mundo e principalmente na América Latina.


SMOMINRU (HEXMEN, MYKINGS)

Smominru – também rastreado sob os nomes de MyKings ou Hexmen – é o maior botnet de hoje dedicado exclusivamente à mineração de criptomoedas.

Ele faz isso nos servidores de desktop e corporativo, aos quais geralmente obtém acesso ao explorar sistemas sem patch.

A botnet apareceu em 2017, quando infectou mais de 525.000 computadores Windows e extraiu mais de US $ 2,3 milhões em Monero (XMR) para seus operadores, em seus primeiros meses de vida.

Apesar da queda nos preços de negociação de criptomoedas, a botnet ainda está ativa hoje, infectando cerca de 4.700 novos dispositivos por dia, de acordo com um relatório publicado durante o verão .


TRICKBOT

TrickBot opera de forma semelhante ao Emotet. É um antigo cavalo de Troia bancário que evoluiu para um conta-gotas de malware e adotou um esquema de pagamento por instalação, e agora está ganhando a maior parte do seu dinheiro instalando o malware de outros grupos criminosos nos computadores que infectam.

O botnet apareceu pela primeira vez em 2016 e suas versões iniciais compartilharam grandes pedaços de código com o agora extinto trojan bancário Dyre. Na época, os pesquisadores de segurança sugeriram que restos da gangue Dyre original criaram o TrickBot depois que as autoridades russas reprimiram alguns dos membros do grupo no início daquele ano.

No entanto, o TrickBot não funcionou como um Trojan bancário por muito tempo. Ele se transformou lentamente em um conta-gotas de malware no verão de 2017, mais ou menos na mesma época em que a Emotet também estava fazendo sua alteração.

Embora não haja evidências de que as duas redes de bots sejam gerenciadas pela mesma equipe, há uma colaboração entre os dois grupos. A turma do TrickBot geralmente aluga acesso a computadores que foram infectados anteriormente pelo Emotet, onde eles largam seu trojan, algo que a equipe do Emotet tolerou, mesmo que o TrickBot seja um dos seus principais concorrentes.

O tamanho da botnet TrickBot variou ao longo dos anos, de 30.000 a 200.000, dependendo da fonte do relatório e da visibilidade que eles têm na infraestrutura do malware.


WIREX

O WireX é um dos poucos casos felizes nesta lista. É uma botnet de malware que foi desativada dentro de um mês após sua criação, depois que várias empresas de segurança e redes de entrega de conteúdo se uniram para derrubar sua infraestrutura.

A botnet foi construída com o malware WireX Android, que apareceu do nada em julho de 2017 para infectar mais de 120.000 smartphones em poucas semanas.

Embora a maioria dos malwares do Android atualmente seja usada para adware e fraude de cliques, essa botnet era extremamente barulhenta, sendo usada para lançar ataques DDoS poderosos.

Isso chamou a atenção imediata das empresas de segurança e, em um esforço coordenado, a infraestrutura de back-end da botnet e do malware foi desativada em meados de agosto do mesmo ano. Empresas como Akamai, Cloudflare, Flashpoint, Google, Oracle Dyn, RiskIQ, Team Cymru e algumas outras participaram da remoção .


ZEROACCESS

ZeroAccess é um botnet que foi criado usando o rootkit ZeroAccess. Os operadores da botnet o usavam para ganhar dinheiro baixando outros malwares em hosts infectados ou executando fraudes por clique em anúncios da web.

A botnet foi detectada pela primeira vez em 2009 e foi encerrada em 2013 após uma operação de remoção coordenada pela Microsoft .

De acordo com a Sophos , a botnet infectou mais de 9 milhões de sistemas Windows durante sua vida útil, atingiu um milhão de dispositivos infectados ao mesmo tempo e ajudou as operadoras a ganhar cerca de US $ 100.000 por dia.

Uma coleção de relatórios técnicos do ZeroAccess pode ser encontrada na Malpedia . Este artigo da Symantec também é bastante completo.

FONTE: ZDNET

Previous post “Os celulares espiam e transmitem nossas conversas, mesmo desligados”
Next post Os hacks e vulnerabilidades mais assustadores de 2019

Deixe um comentário