2024/10/18 10:37:57

Ботнет (Botnet)

Компьютерная сеть, состоящая из некоторого количества хостов, с запущенным автономным программным обеспечением. Ботом в составе такой сети является сам компьютер с вредоносным ПО, дающим возможность злоумышленнику выполнять некие действия с использованием ресурсов заражённого ПК. Ботнеты используются для атак на сервера, подбора паролей на удаленной машине или рассылки спама.

Статья:Боты

Содержание

Основная статья: Вредоносная программа (зловред)

Скандально известные ботнеты

«Яндекс» раскрыл детали «крупнейшей в истории» DDoS-атаки Mēris

9 сентября 2021 года «Яндекс» раскрыл детали DDoS-атаки, которую компания назвала «крупнейшей в истории». Сообщается, что кибернападение осуществлено с использованием нового ботнета Mēris («чума» по-латышски). Подробнее здесь.

Microsoft: Мы обезвредили крупнейшую хакерскую сеть из России

В марте 2020 года Microsoft сообщила о том, что компания совместно с 35 партнёрами в разных странах обезвредила ботнет Necurs, охватывающий около 9 млн компьютеров. По данным компании, хакерская сеть базируется в России, и она является крупнейшей в своём роде. Подробнее здесь.

Ботнет из 5 млн Android-устройств

Китайские киберпреступники используют вредоносное ПО RottenSys для создания ботнета, который уже насчитывает порядка 5 млн Android-устройств. В своей теперешней форме вредонос используется для отображения навязчивой рекламы на экране зараженных устройств. Тем не менее, исследователи из Check Point весной 2018 года обнаружили[1] свидетельства применения злоумышленниками нового модуля на языке Lua для объединения зараженных гаджетов в одну гигантскую ботсеть[2].

По словам исследователей, ботнет предоставит киберпреступникам гораздо больше возможностей, чем простое отображение рекламы. «У этого ботнета будут расширенные возможности, в том числе незаметная установка дополнительных приложений и автоматизация пользовательского интерфейса», – пишут исследователи.Эволюция в развитии российских средств защиты от сетевых угроз: как Kaspersky NGFW меняет расстановку сил на рынке

По словам экспертов, RottenSys не всегда был таким опасным. Вредонос появился в сентябре 2016 года, и большую часть времени киберпреступники занимались его распространением с целью отображения рекламы. С течением времени число зараженных устройств медленно, но верно росло и к настоящему времени достигло порядка 4 964 460.

Компонент на Lua, позволяющий операторам ботнета получать контроль над зараженными устройствами, был добавлен в RottenSys только в прошлом месяце. Пока что вредонос активен только на китайском рынке и распространяется через китайские инфицированные приложения. Большую часть ботнета составляют устройства Huawei (свыше 1 млн), Xiaomi (почти 0,5 млн), OPPO, vivo, LeEco, Coolpad и GIONEE.

По скорости заражения RottenSys превосходит большинство вредоносных программ для Android-устройств. Этим вредонос обязан двум проектам с открытым исходным кодом, опубликованным на GitHub. Первый проект, Small, представляет собой фреймворк для виртуализации приложений, а второй, MarsDaemon, делает приложения «бессмертными».

Сначала с помощью Small вредонос создает виртуальные контейнеры для своих внутренних компонентов, позволяющие им запускаться параллельно в одно и то же время. Как правило, ОС Android не поддерживает такой функционал. Затем с помощью MarsDaemon вредонос поддерживает процессы активными. Даже когда пользователь завершает их, механизм внедрения рекламы все равно не отключается.

Арест основателя ботнета Kelihos

В апреле 2017 года Министерство юстиции США сообщило о задержании российского программиста Петра Левашова, которого называют «королем спама» за создание крупного ботнета Kelihos. Левашова арестовали в Барселоне. Подробнее здесь.

Грузинский ботнет Win32/Georbot

В 2012 года компания ESET объявила об обнаружении сети зараженных компьютеров (ботнет), которая управляется через официальный сайт правительства Грузии.

В начале 2012 года специалисты ESET выявили ботнет, получивший название Win32/Georbot. По данным компании ESET, управляющие команды исходят с официального сайта правительства Грузии. Целью создания данного ботнета является похищение документов и цифровых сертификатов с зараженных компьютеров. Еще одна особенность этой вредоносной программы заключается в том, что она ищет на инфицированном ПК файлы конфигурации RDP (Remote Desktop Connection) с целью дальнейшего хищения и получения несанкционированного доступа к ним. Кроме того, бот способен создавать аудио- и видео-записи и собирать информацию о локальной сети.

На сегодняшний день ботсеть Georbot по-прежнему активна, последние ее обновления были зафиксированы 20 марта текущего года. Аналитики ESET отмечают, что Georbot имеет механизм обновлений, который позволяет ей оставаться незамеченной для обнаружения антивирусными программами. У ботнета также есть резервный механизм получения команд на случай недоступности основного командного центра – это подключение к специальной веб-странице, размещенной на одном сервере с официальным сайтом грузинского правительства.

По данным компании ESET, Win32/Georbot ориентирован в первую очередь на компьютерных пользователей Грузии. Из всех зараженных компьютеров, которые специалистам удалось обнаружить, 70% находились в Грузии, затем следует США со значительно более низким показателем (5.07%), далее идут Германия (3.88%) и Россия (3.58%).

По мнению специалистов, Win32/Georbot был разработан киберкриминальной группой, целью которой является добыча секретной информации с последующей перепродажей

По словам Пьера-Марка Бюро, менеджера по глобальному мониторингу вредоносной активности ESET, «этот факт вовсе не означает, что правительство Грузии занимается управлением данной вредоносной программой». По его словам, довольно часто организации не знают о том, что их серверы были скомпрометированы. «Однако стоит отметить, что Министерство юстиции Грузии и CERT (Команда быстрого реагирования на компьютерные инциденты) были полностью осведомлены о ситуации. Расследование данного инцидента все еще продолжается, и с нашей стороны мы не прекращаем мониторинг»», - заявил он.

Аналитикам компании ESET также удалось получить доступ к центру управления ботнетом, содержащим информацию о числе зараженных ПК, их местоположении и передаваемых командах. Среди полученной информации определенный интерес представляют ключевые слова, используемые для поиска документов, которые интересуют злоумышленников. В списке ключевых слов - министерство, служба, секретно, говорит, агент, США, Россия, ФБР, ЦРУ, оружие, ФСБ, КГБ, телефон, номер и другие.

Специалистами установлено, что такие возможности ботнета, как запись видео с помощью веб-камеры, получение снимков рабочего стола, проведение DDoS-атак были применены не один раз. Тот факт, что ботнет использовал сайт Грузии для получения команд и обновлений, а возможно и для распространения вредоносного ПО, говорит о том, что главной целью злоумышленников являются граждане Грузии.

Однако уровень технологической реализации данной угрозы является довольно низким. Вирусные специалисты ESET полагают, что если бы данная атака спонсировалась государством, то она была бы более технически продвинутой и скрытой. По мнению специалистов, Win32/Georbot был разработан киберкриминальной группой, целью которой является добыча секретной информации с последующей перепродажей.

Происхождение большинства ботнетов - США

23 июня 2015 года стало известно о выпуске компанией Level 3 Communications отчета за 1 квартал 2015 года, из которого следует - следы деятельности большинства ботнетов ведут в США[3].

Отчет посвящен ботнетам – инфицированным компьютерам, объединенным в сети и действующим без ведома их владельцев для ведения противозаконной деятельности. Согласно документу, следы большинства ботнетов ведут в США. Специалисты Level 3 Communications обнаружили в адресном пространстве Северной Америки около 20% всех управляющих серверов, откуда управляются выявленные ботнеты. Эта цифра близка совместной доле Украины и России – стран, занимающих, соответственно, второе и третье место в рейтинге Level 3 Communications.

Взаимодействие в ботнет-сети, 2013

По мнению специалистов компании, существуют две причины происходящего:

  • стабильность и надежность интернет-инфраструктуры США
  • трафик из США не вызывает подозрений.

Обращение компьютера в Великобритании, например, или Франции - к серверу в США, вызывает гораздо меньше подозрений, чем к серверам в Румынии или Украине.

Эксперты Level 3 Communications оценивают протяженность управления командными серверами кибер-преступниками, в среднем - 30 дней, прежде чем их активность пресекают местные операторы связи или правоохранители.

Последствия заражения для компании

7 неприятностей, которыми чревато вхождение компьютеров вашей компании в ботнет[4].

1. Рассылка e-mail спама с IP-адресов компании

Одним из популярных видов применения ботнетов является рассылка спама. В случае длительного вхождения компьютеров в ботнет, занимающуюся подобной активностью, IP-адреса, с которых идут рассылки писем, будут внесены в специальные базы данных, фильтрующие спам. Таким образом в значительной степени усложнится взаимодействие с контактами для бизнеса, так как все письма будут попадать в спам-папку почты.

2. DoS-атаки и DDoS-атаки с IP-адресов компании

Другим распространненым видом применения ботнетов являются DoS и DDoS-атаки. DoS (Denial of Service) — «отказ в обслуживании», часто используемая в последнее время атака на компьютерные системы с целью довести их до «отказа». В таком состоянии доступ к тем или иным сетевым ресурсам невозможен, либо значительно затруднен. Рекомендации по защите от DoS-атак можно найти здесь. DDoS (Distributed DoS) — распределенная DoS-атака, когда атака проводится не с одного компьютера, а одновременно с большого числа систем.

Соответственно, если с компьютеров вашей компании осуществляется DDoS-атака, то IP-адреса компании могут быть заблокированы различными провайдерами. В таком случае пользователи потеряют возможность иметь доступ к определенным ресурсам.

Кроме того, при большом количестве жалоб вашему провайдеру на то, что с ваших IP-адресов идет DDoS-трафик, доступ к сети Интернет может быть заблокирован совсем до выяснения обстоятельств, что вызовет простой в работе компании на неопределенное количество времени.

3. Холостая трата вычислительных ресурсов

При проведении атак тратятся ресурсы компьютера. В случаях, если компания занимается ресурсотребовательными задачами (IT-сфера, видеопроизводство, дизайн и т. д.), это может крайне сильно сказаться на времени производства конечного продукта, что ведет к потере прибыли.

4. Репутационные риски

Проведение атак с компьютеров компании может нанести значительный ущерб репутации, так как IP-адреса, с которых идет вредоносный трафик, известны как адреса, принадлежащие тому или иному бизнесу, и ассоциируются с ним.

5. Прокси-сервер для злоумышленников

Злоумышленники могут обращаться к серверам в сети Интернет, используя «зомби», и от имени зараженных машин совершать различные киберпреступления (например, пытаться взломать веб-сайты). То есть в таком случае компьютер пользователя является своего рода прокси-сервером между злоумышленником и целью атаки, скрывая адрес реального злоумышленника.

6. Балансировщик нагрузки для веб-сайтов злоумышленников

Адреса фишинговых страниц сети Интернет быстро попадают в черные списки. Ботнет дает возможность очень быстро поменять адрес фишинговой страницы, используя зараженные компьютеры в роли прокси-серверов между целью атаки и веб-сервером, на котором развернут фишинговый веб-сайт, что опять-таки маскирует реальный адрес фишингового веб-сервера.

7. Кража конфиденциальной информации

Еще одной из ключевых опасностей, поджидающих компанию, является хищение конфиденциальных данных. Нарушение конфиденциальности и получение секретной информации является одним из основных полей деятельности злоумышленников. С помощью ботнетов количество получаемой информации в виде различных паролей (для доступа к ящикам, социальным сетям, серверам компании, веб-сервисам и прочим ресурсам) и других данных пользователей увеличивается во много раз. Боту, которым заражены компьютеры в ботнете, можно дать команду: «скачать вредоносное ПО», например, «червя» с «троянским конем», ворующего пароли. В таком случае инфицированными «троянской» программой окажутся все компьютеры, входящие в локальную сеть компании, а злоумышленники смогут заполучить пароли со всех зараженных компьютерных систем. Украденные пароли могут быть перепроданы, использоваться для наполнения словарей паролей, либо для массового заражения веб-страниц (например, если удалось получить пароль от панели управления каким-либо сайтом) с целью дальнейшего распространения программы-бота для более широкого охвата ботнета.

Для компании это чревато потерей секретных, конфиденциальных данных, которые могут привести к значительной потере прибыли или компрометации компании.

Преследование организаторов ботнетов

Уголовное преследование владельцев ботнетов - пока чрезвычайно редкое событие, и количество подобных дел за последние несколько лет можно пересчитать по пальцам одной руки. Самым нашумевшим случаем остается дело Дженсона Джеймса Анчете, который с помощью сети зомбированных компьютеров распространял и устанавливал adware, то есть бесплатный софт, за пользование которым приходится расплачиваться просмотром рекламы. Причем речь шла о продукции относительно "культурной" компании - 180solutions, которая в контрактах с агентами жестко ограничивает методы распространения своих программ, дабы не навлечь бед и не вызвать недовольства пользователей. По крайней мере, так утверждали представители фирмы.

Однако двадцатилетний Анчете оказался чрезвычайно старательным партнером и использовал для инсталляции adware созданный им ботнет, насчитывающий около 400 тысяч компьютеров. Тогда в 180solutions пришли люди из ФБР и легко убедили компанию сотрудничать с ними в поимке и сборе доказательств о преступлениях Анчете. Впрочем, круг интересов последнего был гораздо шире, нежели установка adware. Хакер охотно сдавал ботнет в аренду спамерам. В число зараженных попали машины авиабазы ВМС США в Чайна-Лейк, что и привлекло внимание спецслужб и породило невиданную прежде ретивость в поимке киберпреступника. После ареста и закрытия ботнета уровень спама в общем почтовом трафике резко пошел на убыль.

По вынесенному в мае прошлого года приговору Анчете лишился свободы на 57 месяцев, вернул $60 тысяч незаконной прибыли и был оштрафован на $15 тысяч за проникновение в компьютеры военного объекта.

Еще один приговор по делу о ботнетах был вынесен уже в этом году, на сей раз в Нидерландах. Тамошний суд приговорил к тюремному заключению и штрафам в размере 4 тысяч и 9 тысяч евро двух хакеров, организовавших ботнет из нескольких миллионов компьютеров. Впрочем, сразу после оглашения приговора подсудимых отпустили, так как они уже отсидели свои сроки во время предварительного заключения.

В деле снова фигурировала 180solutions. Пару лет назад сотрудники компании заметили у одного из своих голландских агентов необычно высокий объем установок adware, заподозрили его в нарушении условий партнерского договора и попытались выйти на связь, но безуспешно. Тогда сотрудничество было прервано по инициативе 180solutions. Прекратив получать деньги, экс-агент тут же отреагировал, однако вместо того, чтобы покаяться, начал вымогать у компании причитающуюся ему, как он считал, сумму, угрожая в противном случае устроить DDoS-атаку. Когда Хакер получил отказ и перешел к действиям, 180solutions уже сама обратилась в ФБР. Компания "согласилась" с требованиями рэкетира и перевела запрашиваемые деньги на указанный банковский счет, не забыв передать реквизиты правоохранительным органам. После этого ФБР обратилось в свое юридическое представительство в Нидерландах, через которое о преступлении были проинформированы голландские власти. В ходе расследования полицейским удалось установить личности авторов Троянца W32.Toxbot, "плетущего" из компьютеров ботнеты.

В сентябре 2010 года сообщалось, что Министерство внутренних дел Германии направило 2 млн евро на осуществление государственной программы по выявлению зараженных компьютеров и помощи их владельцам в борьбе с вирусами. Технической стороной программы займется Федеральное агентство информационной безопасности и Ассоциация интернет-индустрии Германии.

В соответствии с программой, об участии в которой заявили уже пять германских провайдеров, клиентов будут уведомлять об обнаружении заражения по телефону или почте — электронной или обычной. Им будет предложены инструкции по самостоятельному удалению вирусов с компьютера либо бесплатная помощь по телефону. Программа рассчитана на год, и за это время организаторы надеются вывести Германию из десятки стран мира с наибольшей активностью ботнетов.

Отчеты об угрозах

2024

Обнаружен опасный ботнет, который запускает мощные DDoS-атаки

В октябре 2024 года эксперты компании StormWall зафиксировали DDoS-атаки на российских хостинг-провайдеров, которые были организованы с помощью ботнета. Об этом StormWall сообщил 17 октября 2024 года. Максимальная мощность атак достигала 1,5 Тбит/с, что является рекордным показателем для России в 2024 году. По данным специалистов компании, ботнет состоял из различных взломанных устройств, и их количество превышало 100 тысяч. В основном, в ботнет входили маршрутизаторы ASUS.

По данным специалистов компании, DDoS-атаки на хостинг-провайдеров были комбинированными. В основном, атаки шли с использованием протокола TCP с полноценной установкой соединения и были направлены в открытые порты различных сервисов. Такой тип атаки заблокировать на сетевом оборудовании полноценно невозможно, так как необходимо проверять и отслеживать каждое соединение на предмет его легитимности. Помимо атак с использованием протокола TCP, атакующие комбинировали их с DNS- и UDP-флудом.

Эксперты обнаружили, что атаки в основном шли с IP-адресов таких стран, как США, Китай, Гонконг, Сингапур, Румыния и Украина. Нужно отметить, что большинство атак (62%) шло с IP-адресов из США. Атаки с российских IP-адресов составили 9% от общего количества атак. Всего было выявлено более 100 тысяч уникальных IP-адресов ботнета.

Хостинг-провайдеры с уже подключенной DDoS-защитой, на которые шли мощнейшие DDoS-атаки с помощью данного ботнета, не испытывали полной недоступности своих клиентских сервисов. Однако, не все средства защиты одинаково хорошо справились с этой задачей.

«
В последнее время хакеры постоянно используют ботнеты для запуска DDoS-атак на российские компании, однако данный ботнет позволяет организовать невероятно мощные атаки. Это серьезная угроза для любой организации. Защититься от таких атак самостоятельно практически невозможно. Справиться с подобными атаками можно только с помощью облачных сервисов, которые обладают достаточной емкостью сети фильтрации. Мы рекомендуем всем российским компаниям подключить такие облачные сервисы, чтобы обеспечить надежную защиту таких ресурсов от всех современных ботнетов, — отметил Рамиль Хантимиров, CEO и сооснователь StormWall.
»

От $99 за кибератаку: как устроен рынок ботнетов

Стоимость использования готовых ботнетов для проведения автоматизированных массовых атак, в том числе по схеме DDoS, составляет от $99. Об этом говорится в исследовании «Лаборатории Касперского», результаты которого обнародованы 9 августа 2024 года.

Отмечается, что для создания ботнетов могут применяться уязвимые пользовательские и корпоративные устройства, например, со слабыми паролями — от умных камер до промышленного оборудования. В первом полугодии 2024 года количество инфицированных устройств IoT в России выросло более чем в два раза по сравнению с аналогичным периодом в 2023-м. Эксперты выделяют несколько вариантов коммерческого использования ботнетов — продажа и сдача в аренду, разработка на заказ, а также приобретение недорогих сетей с утекшим исходным кодом.

От $99 за кибератаку: как функционирует рынок ботнетов

В случае продажи ботнеты обладают индивидуальными настройками и различаются по способам заражения, типу используемого вредоносного ПО, инфраструктуре, методам обхода обнаружения. По состоянию на 2024 год стоимость таких сетей варьируется от $99 до $10 тыс. в зависимости от качества. В случае аренды цена находится в пределах $30–$4800 в месяц.

Злоумышленники также предлагают создать ботнет на заказ с нуля: стоимость таких услуг начинается с $3 тыс. Большинство подобных сделок заключаются в частном порядке — через личные сообщения, тогда как исполнителей обычно выбирают на основе их репутации, которую отражает рейтинг пользователя на теневых форумах.

В свою очередь, ботнеты, исходный код которых стал известен в результате утечки, являются более доступными. Однако вероятность достижения желаемого результата ниже по сравнению с другими моделями. Кроме того, такие ботнеты эффективно блокируются защитными решениями. Доступ к этим сетям можно получить бесплатно или за небольшую плату — от $10 до $50.[5]

Зафиксирована одна из крупнейших кибератак на США: Хакеры удаленно перепрошили и взяли под контроль 600 тыс. маршрутизаторов

В конце мая 2024 года были опубликованы данные по одной из крупнейших кибератак в США. В период с 25 по 27 октября 2023 году хакеры с помощью вредоносного ботнета под названием Pumpkin Eclipse удаленно перепрошили и взяли под контроль 600 000 интернет-маршрутизаторов в офисах и на дому. Подробнее здесь.

Европол провел крупнейшую в истории операцию против ботнетов. Закрыты 2 тыс. доменов, арестованы трое украинцев

В конце мая 2024 года Европол провел крупнейшую в истории операцию против ботнетов, в том числе против систем IcedID, SystemBC, Pikabot, Smokeloader, Bumblebee и Trickbot. В ходе спецоперации «Финал», координируемой штаб-квартирой Европола, был произведен арест особо важных фигур, уничтожена криминальная инфраструктура и заморажены незаконные доходы синдикатов.

Европол называет эту акцию крупнейшей за всю историю операцией против ботнетов, которые играют важную роль в распространении программ-вымогателей. Операцию возглавили специалисты Франции, Германии и Нидерландов и поддержал Евроюст. Кроме того, в акции участвовали Дания, Великобритания и США, а Армения, Болгария, Литва, Португалия, Румыния, Швейцария и Украина поддержали оперативников различными мерами, в том числе посредством арестов, допросов подозреваемых, обысков, а также изъятия серверов и доменов. Операцию также поддержал ряд частных партнеров на национальном и международном уровне, включая Bitdefender, Cryptolaemus, Sekoia, Shadowserver, Team Cymru, Prodaft, Proofpoint, NFIR, Computest, Northwave, Fox-IT, HaveIBeenPwned, Spamhaus, DIVD, Abuse. ch и Zscaler.

Европол провел крупнейшую в истории операцию против ботнетов

По итогам скоординированной операции более 2 тыс. доменов перешли под контроль правоохранительных органов, более 100 серверов были отключены или выведены из строя, были проведены четыре ареста (один в Армении и три на Украине). Кроме того, в общеевропейский список разыскиваемых лиц Европола будут добавлены восемь беглецов, подозреваемых в причастностм к серьезной киберпреступной деятельности.

В ходе расследования также выяснилось, что один из главных подозреваемых заработал не менее 69 млн евро в криптовалюте, сдавая в аренду объекты криминальной инфраструктуры для установки программ-вымогателей. Операции подозреваемого теперь находятся под мониторингом, и Европол получил юридическое разрешение на конфискацию этих активов.[6]

Уничтожен один из крупнейших в мире ботнетов. В нем было 19 млн IP-адресов

В ходе скоординированной международной операции правоохранительных органов был нейтрализован ботнет 911 S5, который считается одним из крупнейших в мире. Об этом в Министерстве юстиции США сообщили в конце мая 2024 года. Подробнее здесь.

Хакеры установили вредоносное ПО на роутеры по всему миру и создали глобальную платформу кибершпионажа

15 февраля 2024 года стало известно о том, что правоохранительные органы Германии совместно с американскими спецслужбами ликвидировали сеть кибершпионажа, действовавшую в глобальном масштабе. В составе ботнета были объединены частные и корпоративные маршрутизаторы по всему миру. Подробнее здесь.

2023

Число устройств в ботнетах выросло за год в 4 раза

В начале 2024 года эксперты StormWall заметили тенденцию стремительного роста ботнетов по всему миру, а также в России. По данным аналитиков компании, в 2023 году среднее количество устройств в ботнетах выросло в 4 раза по сравнению с 2022 годом с 4 тыс до 16 тыс девайсов. Атаки ботнетов угрожают безопасности Интернета на глобальном уровне. Об этом StormWall сообщила 12 марта 2024 года.

В мире более 50 млрд IoT-устройств, и почти все девайсы имеют проблемы с безопасностью. Зачастую отсутствуют механизмы своевременного устранения уязвимостей из-за невозможности обновления софта, а также безопасность таких устройств часто не является приоритетом производителей, особенно в бюджетном сегменте. Это делает большинство IoT-устройств потенциально уязвимыми для вновь возникающих угроз. Хакеры могут легко получить доступ к таким девайсам и использовать их в составе ботнетов.

В состав ботнетов входят не только IoT-устройства, но также зараженные ПК и VPS-серверы. Число активных устройств считается по IP, с которых ведется атака. Обычно решения по защите сайтов ориентируются на число запросов, которые генерируют боты. Если ботнет состоит из большого количества ботов, то атакующие могут генерировать с каждого бота столько же или даже меньше запросов, чем пользователи, и в этой ситуации нужно использовать совсем другие методы защиты. Зачастую достаточно небольшого числа IP-адресов (несколько десятков тысяч), чтобы создать серьезные проблемы для компаний, у которых отсутствуют профессиональные средства DDoS-защиты вплоть до уровня приложений.

С помощью ботнетов злоумышленники устраивают ковровые бомбардировки компаний, когда запускаются DDoS-атаки, нацеленные сразу на большой диапазон адресов или подсетей, которые могут содержать сотни или даже тысячи IP-адресов назначения.

В России в последние 2-3 недели было организовано несколько крупнейших DDoS-атак с помощью ботнетов на облачных и интернет-провайдеров, В ходе атаки злоумышленники сканировали IP-адреса провайдеров, находили открытые порты и отправляли туда легитимные запросы с помощью ботов. Единственный способ отфильтровать такие атаки на уровне L3-L4 модели OSI (сетевом и транспортном) - блокировать их по числу обращений, но когда запросов много, этот способ не поможет. Решения для отражения DDoS-атак на уровне L3-L4 не способны фильтровать такие атаки и могут только посчитать количество запросов. Облачные и интернет-провайдеры зачастую не имеют возможности проверять трафик на уровне приложений (L7), потому что не обладают достаточными знаниями о приложениях конечных пользователей.

«
Облачные и интернет-провайдеры ставят защиту для своих клиентов, однако DDoS-атаки становятся более пугающими и приносят более разрушительные последствия. Все ожидали, что Интернет будет становиться более безопасным, но ботнеты растут, атаки становятся более умными, и на март 2024 года не существует простого и понятного способа решения данной проблемы. Нужно уделять больше внимания этой проблеме и наладить взаимодействие внутри индустрии для совместного противостояния таким угрозам. Кроме того, необходимо повышать осведомленность заказчиков и регулировать производителей IoT-оборудования, чтобы минимизировать риски использования устройств в составе ботнетов - отметил Рамиль Хантимиров, CEO и сооснователь StormWall.
»

Обновленный ботнет Prometei заразил более 10 тысяч систем по всему миру

13 марта 2023 года стало известно о том, что с ноября 2022 года по март 2023 года обновлённая версия вредоносного ботнета Prometei заразила более 10 000 систем по всему миру. Заражения носят как географически неизбирательный, так и целенаправленный характер, при этом большинство жертв зафиксировано в Бразилии, Индонезии и Турции.

Prometei, впервые обнаруженный в 2016 году, представляет собой модульный ботнет с большим набором компонентов и несколькими методами распространения, включающие в том числе использование уязвимостей Microsoft Exchange Server. В последнем варианте вредоноса, «Prometei V3», авторы ощутимо прокачали его скрытность в целевой системе.

Иллюстрация:securitylab.ru. Карта заражений ботнета Prometei

Мотивы распространения кроссплатформенного ботнета носят в первую очередь финансовый характер, так как зараженные хосты используются для майнинга криптовалюты и сбора учётных данных.

Последовательность атаки следующая: после закрепления в целевой системе выполняется команда PowerShell для загрузки полезной нагрузки ботнета с удаленного сервера. Затем основной модуль Prometei используется для получения фактической полезной нагрузки криптомайнинга и других вспомогательных компонентов.

Некоторые из этих модулей поддержки функционируют как программы-распространители, предназначенные для распространения вредоносного ПО через протокол удаленного рабочего стола (RDP), Secure Shell (SSH) и Samba (SMB).

Prometei v3 также примечателен тем, что использует алгоритм генерации домена (DGA) для создания C2-инфраструктуры. Кроме того, он содержит механизм самообновления и расширенный набор команд для сбора конфиденциальных данных и захвата хоста.

И последнее, но не менее важное: вредоносная программа развертывает веб-сервер Apache, связанный с веб-оболочкой на основе PHP, которая способна выполнять команды в кодировке Base64 и выполнять загрузку файлов.

«
Это недавнее добавление обновленных возможностей указывает на то, что операторы Prometei постоянно обновляют ботнет и добавляют функции,
заявили исследователи компании Cisco Talos[7].
»

В России нашли ботнет из 55 тыс. зараженных устройств. Через них осуществляют DDoS-атаки мощностью 1,4 Тбит/связи

Эксперты компании StormWall, специализирующейся на технологиях информационной безопасности, нашли ботнет из 55 тыс. зараженных устройств, которые используются для мощных DDoS-атак. Об этом в StormWall рассказали в середине февраля 2023 года. Подробнее здесь.

2022

Ботнет GoTrim брутфорсит пароли администраторов сайтов WordPress

Исследователи Fortinet FortiGuard Labs обнаружили вредоносную кампанию, в ходе которой ботнет на основе Golang взламывает сайты WordPress, чтобы затем захватить контроль над целевыми системами. Об этом стало известно 15 декабря 2022 года. Подробнее здесь.

Обнаружена версия ботнета RapperBot, способного проводить атаки на игровые серверы

ИБ-специалисты из Fortinet FortiGuard Labs обнаружили образцы вредоносного ПО под названием RapperBot, которые используются для создания ботнета, способного запускать DDoS-атаки на игровые серверы. Об этом стало известно 17 ноября 2022 года. Стоит отметить, что именно они в августе 2022 года первыми засекли вредоноса. Тогда он был заточен только под брутфорс SSH-серверов Linux.

А в обновленной версии, обнаруженной специалистами Fortinet, появилось множество дополнительных функций и возможностей:

Брутфорс Telnet. Исследователям эта возможность напомнила ботнет Mirai;

Возможность запуска DoS-атак через протокол туннелирования Generic Routing Encapsulation;

Возможность проведения UDP-атаки. Эту функцию операторы ботнета продемонстрировали, когда направили UDP-флуд на игровые серверы GTA: San Andreas.

Кроме того, теперь список жестко закодированных учетных данных (которые являются учетными данными для IoT-устройств по умолчанию) встроен в двоичный файл, а не загружается с С&С-сервера, как это было раньше. Если злоумышленнику удается взломать устройство, использованные для успешного взлома учетные данные отправляются на сервер хакеров, только после чего на устройство будет установлен RapperBot.

Как говорят представители Fortinet, вредонос предназначен только для устройств, которые работают на архитектурах ARM, MIPS, PowerPC, SH4 и SPARC. На чипсетах от Intel ботнет останавливает механизм самораспространения.

Более того, было обнаружено, что текущая кампания имеет много общих черт с другими более ранними хакерскими операциями, в ходе которых был использован RapperBot. Опираясь на это, исследователи сделали вывод, что RapperBot может управляться одной группировкой или разными хакерами, имеющими доступ к исходному коду[8].

Российский ботнет «Фронтон» умеет гораздо больше, чем просто массовые DDoS-атаки

24 мая 2022 года стало известно, что компания Nisos опубликовала исследование с описанием внутренней работы необычного ботнета.

Иллюстрация: securitylab.ru

«Фронтон» стал известен в 2020 году, когда группа хактивистов Digital Revolution взломала подрядчика ФСБ и опубликовала технические документы, демонстрирующие создание ботнета от имени ФСБ. До недавних пор считалось, что ботнет предназначен для выполнения DDoS-атак. Согласно анализу дополнительных документов «Фронтон», DDoS-атаки являются лишь частью возможностей ботнета.

По заявлению Nisos, «Фронтон» является «системой для скоординированного неаутентичного поведения», а специальное ПО SANA показывает, что истинной целью ботнета может быть быстрое и автоматическое распространение дезинформации и пропаганды.

SANA состоит из множества функций, в том числе:

  • Новости: отслеживает сообщения, тенденции и ответы на них.
  • Группы: управляет ботами.
  • Модели поведения: создает ботов, которые выдают себя за пользователей соцсетей.
  • Модели реагирования: реагирует на сообщения и контент.
  • Словари: хранит фразы, слова, цитаты, реакции и комментарии для использования в соцсетях.
  • Альбомы: хранит наборы изображений для учетных записей ботов платформы.

SANA также позволяет пользователю создавать учетные записи в соцсетях со сгенерированными адресами электронной почты и телефонными номерами, а также распространять контент в Интернете. Кроме того, пользователь может установить расписание для публикаций и настроить количество лайков, комментариев и реакций, которые должен создать бот. Оператор ботнета также может указать, сколько «друзей» должен иметь аккаунт бота.

«
«Конфигуратор также позволяет оператору указать минимальную частоту действий и интервал между ними. Видимо, задействована система машинного обучения, которую можно включать или выключать в зависимости от поведения бота в соцсети», -

сказали исследователи.[9]
»

IoT-ботнет Enemybot на базе Mirai набирает обороты

14 апреля 2022 года стало известно, что специалисты ИБ-компании Fortinet обнаружили ботнет на базе исходного кода Mirai, получивший название Enemybot. Ботсеть набирает обороты, заражая модемы, маршрутизаторы и IoT-устройства через известные уязвимости.

Иллюстрация: securitylab.ru

Оператором Enemybot является киберпреступная группировка Keksec, специализирующаяся на криптомайнинге и DDoS-атаках. И та и другая деятельность осуществляется с помощью ботнета, заражающего IoT-устройства и использующего их вычислительную мощность.

В Enemybot используется обфускация строк, а его C&C-сервер спрятан за узлами Tor, поэтому картировать его и отключить весьма сложно.

После заражения устройства Enemybot подключается к C&C-серверу и ждет команд для выполнения. Большинство команд относятся к DDoS-атакам, но не ограничиваются ими.

Особый интерес вызывают команды, нацеленные на игру ARK: Survival Evolved и серверы OVH, поскольку могут указывать на то, что целью злоумышленников может быть вымогательство. Кроме того, команда LDSERVER позволяет им добавлять в полезную нагрузку дополнительные URL-адреса, чтобы решать проблемы с сервером загрузки. Это интересно, поскольку большинство ботнетов на базе Mirai имеют фиксированные вшитые URL для загрузки.

Enemybot атакует различные архитектуры, начиная от распространенных x86, x64, i686, darwin, bsd, arm и arm64 и заканчивая устаревшими ppc, m68k и spc.

Что касается эксплуатируемых ботнетом уязвимостей, то они отличаются в зависимости от варианта вредоноса, но три из них используются всеми:

CVE-2020-17456 - удаленное выполнение кода в маршрутизаторах Seowon Intech SLC-130 и SLR-120S;

CVE-2018-10823 - удаленное выполнение кода в маршрутизаторах D-Link DWR;

CVE-2022-27226 – cronjob-инъекция в мобильных маршрутизаторах iRZ.[10]

Ботнет Muhstik атаковал серверы Redis

Ботнет Muhstik атакует серверы Redis (сокр. от Remote Dictionary Server, быстрое хранилище данных типа «ключ‑значение» в памяти с открытым исходным кодом). Об этом стало известно 29 марта 2022 года. Вредоносное ПО эксплуатирует уязвимость обхода песочницы в Lua Скриптовый язык программирования (CVE-2022-0543). Подробнее здесь.

2021

Обнаружен крупнейший в истории интернета ботнет

В декабре 2021 года был обнаружен крупнейший ботнет в истории интернета. С его помощью хакеры проводят DDoS-атаки мощностью более 1 Тбит/с и длительностью несколько суток. Об этом сообщили в StormWall, специализирующейся на защите бизнеса от киберугроз.

Всего в декабре 2021 года через этот ботнет было зафиксировано около 230 атак, из которых:

  • 72 (32%) пришлись на развлекательную сферу;
  • 55 (24%) — на ритейл;
  • 28 (12%) — на финансовый сектор;
  • 23 (10%) — на интернет-провайдеры и хостинги;
  • 16 (7%) — на банки;
  • 9 (4%) — на образование;
  • 8 (3,5%) — на страхование;
  • 7 (2%) — на медицину;
  • 6 (2,5%) — на СМИ.

Атаки проводились с помощью нового ботнета, состоящего из нескольких десятков тысяч серверов с разными операционными системами. Также в них использовали вебкамеры, роутеры, умные телевизоры. Так как в ботнет входят разные устройства с различными операционными системами, эксперты делают вывод, что они заражены разными способами.

Обнаружен крупнейший в истории интернета ботнет. Мощность атак превышает 1 Тбит/с

По словам специалистов, хакеры объединяют ботнеты для того, чтобы получить максимальную мощность атаки, способную пробить даже DDoS-защиту. Если раньше ботнет мог использоваться для атаки целиком, то теперь, для того чтобы вывести цель из строя, достаточно только его части. По этой причине злоумышленники могут продавать ботнеты одновременно нескольким людям и зарабатывать больше денег.

В StormWall говорят, что отразить такие атаки можно, используя геораспределенную сеть защиты и фильтруя их ближе к тем регионам, откуда они были запущены. Однако, для того чтобы создать эффективную систему защиты от таких атак, необходимо иметь огромные канальные емкости, а также большие мощности в части сетевого и вычислительного оборудования. Специалисты рекомендуют защищаться от DDoS-атак при помощи специализированных решений.[11]

Обнаружен ботнет с мощностью атаки до 2 Тбит/с

Компания StormWall 4 августа 2021 года сообщила об обнаружении DDoS-атак, организованных, по словам её специалистов, с помощью "самого мощного ботнета за все время существования интернета". Так, максимальная мощность атаки доходит до 2 Тбит/с, что на 4 августа является абсолютным рекордом среди всех атак с участием ботнетов. Большинство DDoS-атак были направлены на игровую индустрию.

Ботнет состоит из 49 тысяч устройств, среди которых, что примечательно, находятся только серверы, обычные же компьютеры и мобильные устройства отсутствуют. Атаки, осуществляемые данным ботнетом, достаточно стандартны, он умеет запускать атаки по протоколам UDP, TCP и HTTP (на уровне 7 модели OSI) с эмуляцией браузера. Хакеры используют инструмент уже около месяца, специалисты фиксируют мощнейшие атаки на российские компании каждый день. Ботнет имеет испанское происхождение, его можно арендовать в интернете: стоимость инструмента – от $2500 за два дня.

По оценкам StormWall, ботнет намного опаснее своих предшественников. Атаки такой мощности затрагивают не только жертву, но и всю цепочку его провайдеров, и могут вызвать проблемы с доступом к интернету одновременно у сотен тысяч пользователей и онлайн-ресурсов. Из-за того, что атака имеет большую мощность, защита от нее будет стоить дорого, и справиться с ней смогут только облачные сервисы DDoS-защиты, обладающие достаточной емкостью сети фильтрации, а о самостоятельной защите не может быть и речи, заключили в компании.

Операторы ботнетов для майнинга криптовалюты используют блокчейн биткойна для сокрытия активности

Специалисты ИБ-компании Akamai рассказали о ботнете для майнинга криптовалюты, использующем для маскировки биткойн-транзакции. Об этом стало извесно 25 февраля 2021 года. Подробнее здесь.

2020

Check Point: ботнет Phorpiex стал самой опасной угрозой ноября 2020

18 декабря 2020 года команда исследователей Check Point Research, подразделения Check Point Software Technologies Ltd.,поставщика решений в области кибербезопасности по всему миру, опубликовала результатами исследования Global Threat Index за ноябрь. Самой активной угрозой месяца в мире стал знаменитый ботнет Phorpiex, атаковавший 4% организаций по всему миру. В России он оказался на шестом месте по количеству угроз, а первое место занял троян Fareit, затронув 10% компаний в стране.

Ботнет Phorpiex впервые обнаружили в 2010 году. На пике активности он контролировал более миллиона зараженных устройств. Phorpiex распространяет другие вредоносные программы посредством спам-кампаний, а также используется для рассылки sextortion–писем. Как и в июне 2020 года, этот ботнет использовался для распространения вымогателя Avaddon. Относительно недавно операторы снова стали предлагать Avaddon платформам для предоставления услуг по управлению атаками программ-вымогателей (RaaS) за часть прибыли от его распространения. Спам-сообщения содержат файлы формата JS и Excel, в которых скрывается Avaddon, способный зашифровывать файлы различных расширений.

«
Phorpiex — один из старейших и наиболее устойчивых ботнетов, который в течение многих лет используется для распространения других вредоносных программ, таких как вымогатели GandCrab и Avaddon, а также для шантажа жертв с использованием интимных фото или видео. Новая волна атак с использованием Phorpiex показывает, насколько он эффективен для этих целей, — комментирует Василий Дягилев, глава представительства Check Point Software Technologies Ltd в России и СНГ. — Компаниям стоит научить сотрудников отличать спам-письма, содержащие вредоносное ПО, и призвать их не открывать неизвестные файлы во вложениях, даже если кажется, что они отправлены с проверенного адреса. Кроме того, следует внедрить решения безопасности, способные защитить корпоративную сеть от заражения.
»

Также исследователи Check Point Research отмечают, что удаленное выполнение кода в заголовках HTTP (CVE-2020-13756) стало самой распространенной уязвимостью и затронуло 54% организаций по всему миру. Удаленное выполнение кода MVPower DVR повлияло на 48% организаций, став второй по популярности уязвимостью. На третьем месте — обход аутентификации роутера Dasan GPON (CVE-2018-10561), затронувший 44% организаций в мире.

Активное вредоносное ПО в ноябре 2020 в мире:

  • ↑Phorpiex (4%) — ботнет, распространяющий вредоносные программы, в том числе с целью шантажа разоблачениями личной жизни.
  • ↑Dridex (3%) — банковский троян, поражающий ОС Windows. Dridex распространяется с помощью спам-рассылок и наборов эксплойтов, которые используют WebInjects для перехвата персональных данных, а также данных банковских карт пользователей. Dridex может отправлять информацию о зараженной системе на удаленный сервер, а также выполнять полученные с него произвольные модули.
  • ↔Hiddad (3%) — модульный бэкдор для Android, который предоставляет права суперпользователя для загруженного вредоносного ПО, а также помогает внедрить его в системные процессы. Он может получить доступ к ключевым деталям безопасности, встроенным в ОС, что позволяет ему получать конфиденциальные данные пользователя.

Самое активное вредоносное ПО в ноябре в России:

В России в ноябре 2020 года самым распространенным вредоносным ПО стал Fareit, который атаковал 10% российских организаций и впервые в этом году попал в ТОП-3 вредоносного ПО в стране. Далее следуют Emotet и FormBook с охватом 7% и 6% соответственно.

  • Fareit или Pony Loader — троян, обнаруженный в 2012 году. Его разновидности похищают пароли пользователей, FTP аккаунты, список телефонных номеров и другие идентификационные данные, которые хранят веб-браузеры. Также он способен устанавливать другие вредоносные программы на зараженные устройства и использовался для распространения трояна P2P Game over Zeus.
  • Emotet — продвинутый самораспространяющийся модульный троян. Emotet когда-то был рядовым банковским трояном, а в последнее время используется для дальнейшего распространения вредоносных программ и кампаний. Новый функционал позволяет рассылать фишинговые письма, содержащие вредоносные вложения или ссылки.
  • FormBook был впервые обнаружен в 2016 году: это инфостилер, предназначенный для ОС Windows. На подпольных хакерских форумах он позиционируется как MaaS из-за его развитых методов уклонения и относительно низкой цены. FormBook собирает учетные данные из различных веб-браузеров, делает снимки экрана, отслеживает и регистрирует на нажатие клавиш, а также может загружать и выполнять файлы в соответствии с приказами своего командного сервера.

Появление криптовалютного ботнета, атакующего AWS

В августе 2020 года специалисты по кибербезопасности из компании Cado Security обнаружили первый в своем роде криптовалютный ботнет, возможности которого позволяют воровать конфиденциальные данные с инфицированных серверов AWS. Подробнее здесь.

2019

Раскрыт ботнет, шантажирующий жертв посредством интимных фото или видео

17 октября 2019 года стало известно, что в рамках пятимесячного исследовательского проекта команда исследователей Check Point Research, подразделение Check Point Software Technologies Ltd., раскрыла работу вредоносной программы, которая рассылает своим жертвам sextortion–письма.

Sextortion — шантаж с использованием интимных фото или видео жертвы, которые злоумышленники часто получают с веб-камеры. В случае отказа жертвы выполнить требования злоумышленников, хакеры обещают разослать полученные приватные данные по всем контактам. Sextortion-сообщения — письма, содержащие подобные угрозы от злоумышленников. Иногда злоумышленники говорят, что у них есть двойное видео: на одном видео запись экрана с фильмом 18+, на другом экране видео с реакцией пользователя на этот фильм.

Исследователи Check Point Research раскрыли ботнет, который использует тысячи зараженных компьютеров для доставки миллионов Sextortion- писем.

Вредоносная программа, ответственная за подобные рассылки, называется Phorpiex. Она активна уже в течении около 10 лет и уже заразила около 450 000 хостов, но это число очень быстро растет. Раньше главным способом получения прибыли для Phorpiex было распространение различных других вредоносных программ или использование хостов для майнинга криптовалюты, но с недавнего времени у этой программы появилась иная форма дохода: спам-бот, используемый для запуска крупнейших sextortion -кампаний, который когда-либо были.

Ботнет Geost инфицировал 800 тыс. Android устройств в РФ

3 октября 2019 года стало известно, что исследователи из Чешского технического университета, Национального университета Куйо (Аргентина) и компании Avast обнаружили один из банковских ботнетов, получивший название Geost. Жертвами вредоносной кампании стали по меньшей мере 800 тыс. владельцев Android-устройств в РФ, в частности злоумышленники получили доступ к их банковским счетам, на которых в общей сложности хранилось несколько миллионов евро.

По словам исследователей, ботнет мог остаться незамеченным, если бы не ошибки в операционной безопасности (OpSec) киберпреступников, включая использование незашифрованных журналов чата, обнаруженных в ходе расследования, и незащищенной прокси-сети, которая не смогла обеспечить анонимность.

«
Редкая цепь ошибок в OpSec привела к обнаружению банковского Android-ботнета. Необычное открытие было сделано, когда преступники решили довериться прокси-сети, созданной вредоносным ПО HtBot. HtBot предлагает в аренду прокси-сервис, предоставляющий пользователям псевдоанонимное общение в Интернете. Анализ сетевого взаимодействия HtBot привел к обнаружению и раскрытию крупной вредоносной операции, — пояснили исследователи.
»

HtBot работает, превращая жертв в частные незаконные интернет-прокси. Зараженные жертвы передают сообщения от пользователей HtBot в Интернет. Трафик постоянно перенаправляется другим жертвам, что затрудняет отслеживание. Киберпреступники также не смогли зашифровать свои сообщения, позволив исследователям наблюдать за их действиями. Информация включала технические подробности обращения к серверам, ввод дополнительных устройств в ботнет, методы уклонения от антивирусных решений и подробности об отношениях между злоумышленниками. Специалисты выяснили, что операторы более низкого ранга отвечают за ввод устройств в ботнет, а высокого — определяют, сколько денег находится под их контролем.

Ботнет Geost состоит из Android-устройств, инфицированных через вредоносные и фальшивые программы, включая поддельные банковские приложения и социальные сети. После заражения телефоны подключаются к ботнету и управляются удаленно. Как пояснили исследователи, злоумышленники могут получать доступ и отправлять SMS-сообщения, осуществлять общение с банками и перенаправлять трафик телефона на разные сайты. Ботнет мог напрямую подключаться к пяти крупнейшим банкам России для работы и разворачивать более 200 Android APK для фальсификации десятков приложений.

Команда исследователей связалась с затронутыми российскими банками и вместе с ними принимает меры по обезвреживанию вредоносной кампании[12].

Крупнейший ботнет Emotet остановил активность в июне

16 июля 2019 года стало известно, что команда исследователей Check Point Research, подразделения Check Point Software Technologies, опубликовала отчет Global Threat Index с самыми активными угрозами в июне 2019 года. Исследователи сообщают, что Emotet (крупнейший ботнет на июль 2019 года) пока не работает — почти весь июнь не было никаких неизвестных кампаний. В течение первого полугодия 2019 года Emotet входил в топ-5 вредоносных программ во всем мире и распространялся с помощью масштабных спам-кампаний. Подробнее здесь.

2018

Россия вошла в тройку стран по размеру ботнетов

Россия по итогам 2018 года вошла в тройку стран по размеру ботнетов. Об этом говорится в исследовании, проведенном компанией SonicWall (специализируется на технологиях защиты сетей и контроля трафика) и обнародованном в конце марта 2019-го.

По оценкам экспертов за 2018 год, в России находится 7% устройств и компьютеров, подключенных к ботнетам. Больше только в Китае (13%) и США (47%).

Страны с наибольшим количеством устройств в ботнетах, данные SonicWall

Как отмечают в SonicWall, ботнеты разрастаются, чему во многом способствует включение в них оборудования интернета вещей. IoT-устройства все чаще подключают к компьютерным сетям с запущенными ботами, поскольку их пользователи зачастую не меняют настройки, установленные производителями по умолчанию, — этим и пользуются злоумышленники.

Согласно расчетам специалистов, в 2018 году количество хакерских атак на интернет вещей утроилось и достигло 32,7 млн. Ожидается, что к 2020 году в мире будет насчитываться более 31 млрд IoT-устройств, поэтому проблема их безопасности станет еще острее.

Динамика изменения числа атак на IoT-устройства, данные SonicWall

Один из разделов исследования SonicWall посвящен вирусам-вымогателям. В 2018 году они участвовали в 206,4 млн кибератак, что на 11% больше, чем годом ранее. Чаще всего использовались вредоносные программы WannaCry, Cerber и Nemucod.

Средняя сумма выкупа, которые платят жертвы, составила $6733. Однако эксперты оговариваются, что точный финансовый ущерб трудно подсчитать, поскольку многие компании, особенно крупные, опасаясь ударов по репутации и деловым отношениям, стараются умалчивать об атаках.

Встречаются как серьезные шифровальщики, так и достаточно примитивные, которые лишь перезаписывают главную загрузочную запись и требуют выкуп в криптовалюте Monero.

«
Хотя файлы можно легко восстановить, смонтировав файловую систему с помощью работающей операционной системы, запущенной при помощи карты памяти, большинство пользователей, скорее всего, сочтут, что их файлы пропали, и выполнят полную переустановку. Интересно, что никаких контактных данных для восстановления системы не предоставляется, и нет никаких способов проверить, решится ли проблема, если заплатить $200 в Monero, — сообщается в отчете.
»

Атаки с помощью «безвредных» вирусов-вымогателей не часто завершаются удачей для злоумышленников. Например, один из криптовалютных кошельков, который указывали мошенники, год не пополнялся.

Кроме того, злоумышленники не пытаются скрыть функциональность фальшивого вымогателя. Обнаруженные вирусы написаны на Delphi и настолько просты, что простое представление строк в двоичном формате мгновенно раскрывает идеи псевдохакеров.

Зато злоумышленники все чаще используют нестандартные порты для заражения вирусами — на них пришлось 19,2% атак в 2018 году против 8,7% в 2017-м. Растет распространение нелегитимного трафика через порты HTTP и HTTPS, отличные от 80 и 443, а также через порты FTP, отличные от 20, 21 и 22.

Компании не защищаются от этого вектора атак так же, как это они делают в случае со стандартными портами. Поскольку существует множество возможностей для мониторинга, традиционные межсетевые экраны на основе прокси-сервера не могут смягчить атаки на нестандартные порты. Это касается как зашифрованного, так и незашифрованного трафика, отмечают в SonicWall.

Динамика изменения числа кибератак в мире, данные SonicWall

Суммарное число кибератак в мире по итогам 2018 года достигло рекордных 10,52 млрд. Среди них выросла доля более целенаправленных нападений. Кроме того, выявлено почти 75 тыс. новых видов атак, а также угрозы более чем в 47 тыс. PDF-файлов и 51 тыс. документов Microsoft Office.[13]

18% организаций в мире были атакованы ботами

30 января 2019 года стало известно, что компания Check Point Software Technologies Ltd. выпустила первую часть отчета 2019 Security Report, который раскрывает основные тренды и методы вредоносного ПО, которые исследователи Check Point наблюдали в 2018 году. Согласно документу, боты были третьим наиболее распространенным типом вредоносных программ: 18% организаций были атакованы ботами, которые используются для запуска DDoS-атак и распространения других вредоносных программ. Почти половина (49%) организаций, подвергшихся DDoS-атакам в 2018 году, была заражена ботнетами. Подробнее здесь.

Nokia Threat Intelligence Report: рост числа IoT-ботов продолжится с распространением 5G

В ноябре 2018 года компания Nokia опубликовала отчет, согласно которому доля IoT-ботнетов среди всех вредоносных программ в сетях провайдеров услуг связи в 2018 году выросла до 78%. Это более чем в два раза превышает показатели 2016 года, когда о ботнетах стали говорить, как о значимой угрозе. Прогнозируется, что в 2019 году ситуация только ухудшится.

«
Мы еще не решили эту проблему, — говорит директор лаборатории Nokia Threat Intelligence Lab и один из авторов отчета Кевин МакНаме (Kevin McNamee). — Мы увидим, что IoT-ботнеты станут сложнее и начнут наносить больший урон.
»

В отчете также указывается, что среди всех скомпрометированных устройств в сетях провайдеров облачных сервисов 16% заражены IoT-ботами. В 2017 году таковых было 3,5%. IoT-устройства обычно не защищены брандмауэрами и антивирусным ПО, что делает их легкоуязвимыми.

В 2018 произошел взрывной рост числа IoT-ботнетов. В 2019-м станет еще хуже из-за 5G

При этом в отчете отметили уменьшение количества атак на мобильные и фиксированные сети в 2018 году по сравнению с предыдущими годами. Одной из причин является то, что киберпреступники теперь больше ориентируются на IoT- устройства, а не на смартфоны.

Отраслевые аналитики ожидают, что с распространением 5G внедрение IoT-устройств значительно ускорится. Высокая скорость передачи данных, широкий охват и низкие значения задержки сетей 5G позволяют подключать к интернету миллиарды вещей. Но отставание многих современных IoT-устройств в плане защиты и повышение технической сложности дадут злоумышленникам больше возможностей для совершения атак.

В связи с этим в отчете Nokia рассматриваются решения по обеспечению безопасности и лучшие практики. Авторы рекомендуют отслеживать сетевой трафик, чтобы обеспечить нормальное поведение устройств. Кроме того, следует обеспечить защищенную связь для IoT-устройств в плане аутентификации, целостности и конфиденциальности. Если устройство скомпрометировано, его необходимо изолировать от остальной сети.

Данные для годового отчета компании Nokia были собраны в результате мониторинга сетевого трафика на более чем 150 млн устройств во всем мире, где установлено приложение Nokia NetGuard Endpoint Security.[14]

Microsoft Security Intelligence Report

Корпорация Microsoft опубликовала в апреле 2018 года отчет об угрозах информационной безопасности Security Intelligence Report за период с февраля 2017 года. Он базируется на данных, полученных защитными программами и сервисами компании (Данные о количестве обнаруженных угроз, а не о случаях заражения). Информация была предоставлена корпоративными и частными пользователями, которые согласились делиться ей с привязкой к геолокации.

Широкое распространение ботнетов и вирусов-вымогателей привело к тому, что количество устройств в России, столкнувшихся с киберугрозами в период с февраля 2017 года по январь 2018 года, достигло 25-30% в среднем в месяц, тогда как аналогичный показатель в первом квартале 2017 года был почти в два раза меньше – 15%. Самые высокие показатели были зафиксированы в Пакистане, Непале, Бангладеше и Украине (33,2% или выше), самые низкие – в Финляндии, Дании, Ирландии и США (11,4% или ниже).

Согласно данным Windows Defender Security Intelligence, самой часто встречающейся категорией нежелательного ПО стали трояны. Процент их распространения с февраля 2017 года по январь 2018 года вырос с 6% до 10%. Показатели других видов вредоносного ПО (дропперов, обфускаторов, вирусов-вымогателей и т.д.) составили менее 1%.

В ноябре 2017 года совместно с ESET и правоохранительными органами Microsoft уничтожила командную инфраструктуру одной из крупнейших сетей по распространению вредоносного ПО – ботнета Gamarue, также известного как Andromeda; это хакерский инструмент, распространявшийся как платный сервис для киберпреступников. Отдел по расследованию цифровых преступлений Microsoft (Digital Crimes Unit, DCU) проанализировал более 44 000 образцов вредоносного кода и выяснил, что в арсенале Gamarue было более 80 различных типов вредоносного ПО. Тремя основными классами вредоносного ПО, распространявшимися через бот-сеть Gamarue, были программы-вымогатели (в частности, Petya), трояны и бэкдоры. С помощью вирусов Gamarue злоумышленники могли красть данные учетных записей, запускать в зараженных системах другие вредоносные программы, отслеживать происходящее на мониторе (движение мышки или набираемые символы на клавиатуре жертвы) и многое другое.

Из-за нарушения работы этой инфраструктуры уже в следующие три месяца количество инфицированных устройств снизилось на 30% (с 17 до 12 миллионов). Количество IP-адресов, имеющих отношение к сети Gamarue и перенаправленных на созданный совместно с органами правопорядка сервер sinkhole, в России составило 22,5 тыс. Всего в мире количество таких IP-адресов составило 29,48 млн.

Тем не менее, ботнеты продолжают оставаться серьезной угрозой для пользователей по всему миру. Microsoft активно содействует в помощи пользователям зараженных устройств в рамках деятельности ассоциации Virus Information Alliance, а также постоянно совершенствует защитные механизмы своих продуктов, используя машинное обучение для проактивной блокировки новых видов атак.

Интересные факты

  • Самый большой ботнет, зафиксированный на момент середины 2009 года, использовал в своей структуре 1,9 миллиона компьютеров. [15]
  • Для создания бот-сети размером в 80 000 машин необходимо инфицировать около одного миллиона компьютеров. [16]

Треть интернет-трафика приходится на ботов

Искусственно созданный трафик становится серьезной проблемой для рекламодателей. Так, 36% веб-трафика сгенерировано при помощи взломанных компьютеров, — об этом пишет The Wall Street Journal со ссылкой на оценку компании Interactive Advertising Bureau (IAB). Для поддельного трафика используются ботнеты, фальшивые сайты, а также посредники, личности которых установить практически невозможно.

Поддельный трафик ведет к обману рекламодателей, так как последние платят за количество обращений к рекламному материалу, независимо от того, являются ли посетители веб-страницы реальными людьми.

Источники WSJ сообщают о том, что с обманом при проведении рекламных кампаний столкнулись корпорации L’Oréal, General Motors и Verizon Communications. Отмечается, что поддельный трафик подрывает доверие рекламодателей к интернету по сравнению с традиционными медиаплощадками, в том числе по сравнению с телевидением. Роксана Баретто, помощник вице-президента по цифровому маркетингу в L’Oréal рассказывает, что `промедление представляет собой упущенную возможность наладить связи с нашей основной аудиторией`.

Сложно дать оценку размерам онлайн-мошенничества, но в компании White Ops подсчитали, что в 2013 году американским рекламодателям были нанесены убытки в размере 6 млрд долларов. Кроме того, многие факторы влияют на размер рекламных цифровых бюджетов, в том числе, это не только мошенничество, но и трудности в оценке величины аудитории.

Напомним, что в США, согласно прогнозам, рынок интернет-рекламы, включая соцсети и мобильный интернет, вырастет на 17% и достигнет 50 млрд долларов в этом году. В целом доля цифровой рекламы составит 28% от общих расходов на рекламу.

Смотрите также

Контроль и блокировки сайтов

Анонимность

Критическая инфраструктура

Импортозамещение


Информационная безопасность и киберпреступность

* Регулирование интернета в Казахстане, KZ-CERT




Примечания

  1. RottenSys: Not a Secure Wi-Fi Service At All
  2. Китайские хакеры создали ботнет из 5 млн Android-устройств
  3. Следы большинства ботнетов ведут в США
  4. 7 бед, если в компании ботнет
  5. Атака напрокат: в даркнете стоимость готовых ботнетов для массовых атак начинается от 99 долларов США
  6. Largest ever operation against botnets hits dropper malware ecosystem
  7. Новая версия ботнета Prometei заразила более 10 тысяч систем по всему миру
  8. Обнаружена новая версия ботнета RapperBot, способного проводить атаки на игровые серверы
  9. Российский ботнет Фронтон умеет гораздо больше, чем просто массовые DDoS-атаки
  10. Новый IoT-ботнет Enemybot на базе Mirai стремительно набирает обороты
  11. Гигантская угроза: российские эксперты обнаружили крупнейший ботнет в истории интернета
  12. Банковский ботнет Geost инфицировал как минимум 800 тыс. Android-устройств в РФ
  13. Attacks on IoT Devices Tripled in 2018 – Non-Standard Ports Increasingly Targeted
  14. Nokia Threat Intelligence Report - 2019
  15. Украинские хакеры объединили в ботнет почти два миллиона компьютеров
  16. http://sa-sec.org/?p=537