PandaLabs обнаружила цепь компьютеров-зомби, которая контролировалась с помощью бот-сети Kneber

Быстрый переход

← В прошлое

02.02.2016 [09:48], Андрей Крупин

Антивирусная лаборатория PandaLabs обнародовала отчёт по безопасности за 2015 год, содержащий анализ таких проявлений киберпреступной активности, как кражи данных, атаки в социальных сетях и распространение злонамеренного программного обеспечения.

Согласно приведённым в опубликованном документе данным, объёмы вредоносного софта в прошлом году достигли рекордного показателя — свыше 84 миллионов новых образцов, что на 9 млн больше, чем за 2014 год.

При этом, как и годом ранее, трояны были причиной большинства заражений (60,3 % от числа всех случаев заражения).

Потенциально нежелательные программы также оказали достаточно негативное влияние на IT-отрасль и стали причиной почти трети инфекций (29 %), обойдя шпионов и рекламное ПО (5,2 %), червей (3 %) и вирусы (2,6 %). Ежедневно экспертами PandaLabs фиксировалось свыше 230 тысяч новых образцов злонамеренного ПО.

В рейтинге наиболее инфицированных стран лидирующие позиции по-прежнему удерживает Китай (57,2 %). Тайвань и Турция заняли второе и третье место соответственно (49,2 % и 42,5 %), за ними следуют Гватемала и Россия. Наиболее низкий уровень заражённости (менее 23 %) зафиксирован в Финляндии, Норвегии, Швеции, Великобритании и Германии.

С полным текстом аналитического отчёта PandaLabs можно ознакомиться на сайте антивирусной лаборатории pandalabs.com.

07.03.2013 [16:03], Сергей и Марина Бондаренко

Антивирусная лаборатория PandaLabs компании Panda Security предоставила данные, согласно которым печально известная вредоносная программа «полицейский вирус» продолжает заражать тысячи компьютеров во всем мире. И это — несмотря на арест киберпреступников, предположительно ответственных за атаки.

Арест лидера кибергруппы в Дубае в рамках международной операции, осуществленной Технологической следственной бригадой Национальной полиции Испании в сотрудничестве с Европолом и Интерполом, не прекратил вредоносную эпидемию.

«Данное ПО для вымогания денег приносит своим создателям прибыль свыше 1 млн евро в год, – пояснил Луис Корронс, Технический директор PandaLabs. – Однако количество заражений продолжает расти, наводя нас на мысль, что мы столкнулись с неопределенным количеством групп, запускающих подобные атаки».

Данная вредоносная эпидемия продолжает заражать сотни тысяч компьютеров во всем мире, используя запугивание и шантаж для получения денег от пользователей компьютеров. Самые последние версии этой вредоносной программы даже показывают изображения, перехваченные с веб-камеры пользователя, благодаря чему обман становился более правдоподобным.

Исследованные специалистами PandaLabs два семейства вредоносных программ, используемых в атаке, показали, что после ареста главаря банды в период с декабря 2012 года до февраля 2013 года количество заражений удвоилось с 2500 до 5000.

На картинке представлен рост инфекций по неделям в конце 2012 и начале 2012 года:

Подавляющее большинство этих инфекций вызвано «наборами эксплойтов» – приложениями, которые позволяют хакерам очень просто заражать компьютеры пользователей, отправив их на специальную зараженную веб-страницу.

Киберпреступники пользуются дырами безопасности в популярных программах, таких как, например, Adobe Acrobat или Java, для получения контроля над системами.

В настоящее время все еще в обращении находится множество вариантов «полицейского вируса», и все они обнаружены лабораторией PandaLabs в качестве Trj/Ransom.AB.

Материалы по теме:

Источник:

15.01.2013 [01:45], Сергей и Марина Бондаренко

Антивирусная лаборатория PandaLabs компании Panda Security опубликовала свой обзор вирусов за 2012 год. В нем представлены самые «яркие», необычные угрозы прошлого года, использующие для заражения ПК виртуозные технологии.

Руки вверх! Вы окружены! Чем не боевой клич «полицейского вируса»? Вирус Police – вредоносная программа, добавившая головной боли пользователям и IT-отделам в течение 2012 года.

Данный вирус показывает сообщение якобы из полиции, которое информирует пользователей о том, что их компьютер заблокирован якобы за скачивание незаконных материалов. Чтобы восстановить свои системы, пользователям необходимо заплатить штраф.

Самые последние версии даже показывают изображения с веб-камеры пользователя, что делает данную аферу еще более реалистичной.

Агент 007. Выдающейся шпионской программой года должна стать, безусловно, Flame, близкий родственник Stuxnet. Это один из самых мощных инструментов кибервойн, созданных до настоящего времени, а вызванные им инфекции были направлены преимущественно на страны Ближнего Востока.

Не садите Мак! Flashback – этот бот инфицирует не компьютеры с Windows, а системы Apple, атакуя тысячи пользователей компьютеров Mac во всем мире. После его появления пользователи Mac перестали беззаботно относиться к своей безопасности.

Глава Олимпа. Zeus (в переводе на русский означает Зевс) – троян, осуществляющий кражу информации у пользователей банковских онлайн-сервисов. Данное семейство вредоносных программ появилось недавно и продолжает распространяться.

В этом году были обнаружены его новые варианты, которые заражают не только ПК, но и смартфоны (Android, Blackberry, Symbian), в расчете на банки, отправляющие пользователям информацию через сотовые телефоны в качестве дополнительной меры безопасности.

Вам пришло электронное письмо. Правда, не от Мэг Райан или Тома Хэнкса из «Неспящих в Сиэтле»… Это всего лишь происки червя Kuluoz, который информирует о покупке, а затем заражает компьютеры. Червь приходит в виде электронного письма и выглядит так, словно это сообщение было отправлено службой доставки FedEx, информируя пользователей о доставленной посылке.

Пиноккио. Если бы у вируса был нос, как у Пиноккио из «Шрека», то он бы уже достиг стратосферы. Koobface – самое лживая вредоносная программа года, т.к.

она в течение всего 2012 года распространяла бесконечную ложь в социальных сетях с целью заражения пользователей. В одной из атак использовалась лживая история о Президенте США Бараке Обама, который якобы кого-то избил за расовое оскорбление в свой адрес.

Так что остерегайтесь сенсационных историй в социальных сетях, потому что это — любимый трюк киберпреступников.

Минер. BlackHole Exploit kit стал одним из самых популярных инструментов для создания вредоносных программ за прошедший год. Он использует многочисленные дыры безопасности, которые позволяют ему установить и использовать все типы эксплойтов, особенно в Java и Adobe.

Подражатель. DarkAngle – фальшивый антивирус, который представляет себя как Panda Cloud Antivirus. Таким образом, он использует известность бесплатного облачного антивируса компании Panda Security для инфицирования максимально возможного числа пользователей.

Тоталитарный бот. В духе традиций культа личности, Ainslot.L разработан для того, чтобы господствовать над другими. Заразив ПК или сеть, бот Ainslot.L сканирует компьютеры и удаляет все другие боты, которые находит на них.

• Материалы по теме:
• Источник:

29.12.2012 [17:11], Андрей Крупин

Уязвимости в программном обеспечении будут основной целью для злоумышленников в наступающем 2013 году. Такой прогноз делают эксперты антивирусной лаборатории PandaLabs, проанализировавшие возможные варианты развития событий в киберпространстве.

По мнению специалистов, в будущем году киберпреступники продолжат эксплуатировать уязвимости в популярных продуктах компании Adobe Systems и Java-приложениях, которые активно применяются как на PC, так и на Mac.

При этом успех хакеров во многом будет обусловлен не столько их талантом и совершенством используемых ими технологий, сколько невниманием пользователей и организаций к элементарным основам компьютерной и информационной безопасности.

«Своевременное развертывание апдейтов для бизнес-приложений гарантирует защиту от подобного рода атак и в то же время является сложным процессом на крупных предприятиях, где обновления всех рабочих станций должны быть скоординированы, так как крайне важно обеспечить корректное функционирование используемого ПО.

— комментирует технический директор PandaLabs Луис Корронс (Luis Corrons). — Из-за этого процессы обновлений осуществляются достаточно медленно, в результате чего появляется «окно», которое используется злоумышленниками для кражи информации в целом и реализации атак, нацеленных на поиск конфиденциальных данных».

1. Помимо эксплуатации незакрытых брешей в приложениях, наибольший резонанс в сфере IT-безопасности получат инциденты, связанные с применением преступными группами методов социальной инженерии, вредоносных программ для мобильных платформ, а также с обостряющейся с каждым годом кибергонкой вооружений.
2. С полной версией отчета PandaLabs об итогах вирусной активности в 2012 году и прогнозах развития киберугроз в 2013 году можно ознакомиться здесь.
3. Материалы по теме:
4. Источник:

12.12.2012 [11:31], Сергей и Марина Бондаренко

Антивирусная лаборатория PandaLabs компании Panda Security обнаружила новую мошенническую кампанию в Интернете. Эта новая афера реализуется через электронную почту и удачно приурочена к началу сезона новогодних распродаж.

Пользователь получает по электронной почте ложное сообщение якобы от экспресс-почты FedEx, с помощью которого обманным путем вовлекается в скачивание компьютерного червя Kuluoz.

A и фиктивной антивирусной программы под названием System Progressive Protection («Прогрессивная защита системы»).

Сообщение содержит ссылку на скачивание «квитанции» для получения «посылки». Если пользователь нажимает на ссылку, он переходит на веб-страницу, где скачивается файл с расширением .zip под названием Postal Receipt («Почтовая квитанция»).

Архив содержит исполняемый файл с иконкой Word, загружающий вариант червя Kuluoz.A.

, который, в свою очередь, пытается подключиться к удаленному серверу для получения команд от хакеров и выполнения различных вредоносных действий на инфицированном компьютере, включая запуск файлов.

После запуска червь открывает Блокнот, отображая пустую страницу, заставляя пользователя поверить в то, что он открывает легитимный файл. В дополнение к этому, червь скачивает фиктивную антивирусную программу под названием System Progressive Protection («Прогрессивная защита системы»), которая симулирует проверку компьютера.

Отчет о сканировании содержит определенное количество найденных инфекций, а программа предлагает пользователю купить антивирус для их удаления. Но это всего лишь уловка, предназначенная для кражи денег жертвы, т.к.

ни одна из инфекций, представленных в отчете, в реальности не существует, а сама «антивирусная программа» является ложной.

• Материалы по теме:
• Источник:

03.12.2012

Входит ли ваш компьютер в ботнет? Проверьте!

Многие думают, что компьютерный вирус обязательно выводит компьютер из строя. Если система работает нормально, то нет смысла переживать, верно? На самом деле нет. Создатели вирусов — это отнюдь не скучающие кибервредители.

И их основная цель заключается вовсе не в создании киберпетарды просто для смеха или из вредности. Основная цель киберпреступников — заработать денег.

Во многих случаях это предполагает прямо противоположное поведение: лучший вирус — самый незаметный.

Например, такое скрытное поведение характерно для ботнетов. Это сети компьютеров-зомби, обычно состоящие из тысяч зараженных систем. Если говорить о самых крупных — это многие сотни тысяч.

Как правило, владельцы «зомбированных» компьютеров даже не подозревают о том, что с ними что-то не в порядке.

Разве что могут заметить некоторое снижение производительности, но для компьютеров это в принципе не в диковинку.

Ботнет используют для различных целей. Иногда для сбора личной информации, такой как пароли, номера кредитных карт, почтовые адреса, адреса электронной почты, телефоны, номера документов и так далее.

Эта информация в дальнейшем может использоваться для разнообразных вариантов мошенничества, рассылки спама или распространения вредоносного ПО.

Также ботнеты могут использоваться для распределенной атаки на серверы и сети.

Навалились всем миром на ботнет https://t.co/YuMZq3KRQa #securitywithoutborders

— Евгений Касперский (@e_kaspersky_ru) April 13, 2015

Большой ботнет — сложная распределенная система. Для вывода его из строя, как правило, требуются объединенные усилия множества организаций. Самый свежий пример — ботнет Simda, который, по некоторым оценкам, «зомбифицировал» до 770 тыс. компьютеров в 190 странах мира. Наибольшее число зараженных систем обнаружено в США, Великобритании, Турции, Канаде и России.

Simda, если можно так выразиться, — это такая «торговая сеть» для «производителей» вредоносного ПО.

Ботнет использовался для распространения других типов вредоносного ПО, в том числе ворующего данные платежных систем.

Сами создатели ботнета зарабатывали на том, что предлагали любому желающему возможность установить собственное вредоносное ПО на зараженные компьютеры, уплачивая определенную сумму за каждую успешную установку.

Ботнет действовал в течение нескольких лет. Чтобы сделать его более эффективным, создатели Simda постоянно работали над новыми версиями, выпуская и распространяя их каждые несколько часов. На данный момент вирусная коллекция «Лаборатории Касперского» содержит более 260 тыс. образцов исполняемых файлов, принадлежащих различным версиям Simda.

Входит ли ваш компьютер в #ботнет #Simda? Проверьте!

Tweet

Несколько дней назад, 9 апреля, все управляющие сервера ботнета Simda, расположенные в Нидерландах, США, Люксембурге, России и Польше, были ликвидированы.

Полный список организаций, чьими силами была осуществлена эта операция, дает отличное представление о том, насколько она была непростой.

Для того чтобы противостоять преступникам, свои усилия объединили Интерпол, «Лаборатория Касперского», Microsoft, Trend Micro, Cyber Defense Institute, ФБР, Национальный центр по борьбе с преступлениями в сфере высоких технологий Нидерландов, отдел новых технологий полиции герцогства Люксембург и отдел «К» МВД России.

@INTERPOL_GCI coordinated #Simda #botnet operation with private sector @Microsoft @kaspersky @TrendMicro and Cyber Defense Institute

— INTERPOL (@INTERPOL_HQ) April 13, 2015

«Ботнеты — географически распределенные сети, из-за этого вывести ботнет из строя — очень непростая задача.

Поэтому очень важно объединить усилия как государственных структур, так и частных компаний — каждая сторона вносит свой вклад в общее дело, — говорит Виталий Камлюк, исследователь «Лаборатории Касперского».

— В данном случае «Лаборатория Касперского» обеспечивала технический анализ, сбор данных о деятельности ботнета через Kaspersky Security Network и давала рекомендации по стратегии обезвреживания управляющих серверов».

Расследование все еще продолжается, так что говорить о том, кто стоит за ботнетом Simda, пока рано. Что важно для нас, пользователей: сервера, позволявшие киберпреступникам связываться с зараженными компьютерами и управлять ими, на данный момент выключены. Однако это не повод расслабляться: владельцам «зомбированных» систем следует избавиться от вредоносного ПО, и чем быстрее — тем лучше.

На сайте «Лаборатории Касперского» доступна специальная страница, на которой каждый желающий может проверить, не является ли его компьютер частью ботнета Simda. Для этого используется сравнение IP-адреса со списком зараженных адресов.

Поскольку по ряду причин это не вполне надежный способ, для большей уверенности лучше сделать полную проверку системы. Например, с помощью бесплатного инструмента Kaspersky Security Scan.

Или с помощью более мощного решения Kaspersky Internet Security, пробную версию которого также можно загрузить бесплатно. Разумеется, все остальные продукты «Лаборатории Касперского» также обнаруживают данное вредоносное ПО.

Больше подробностей о ботнете Simda можно найти в статье на Securelist.

Microsoft нанесла спамерам сокрушительный удар

Компания Microsoft объявила о том, что получила разрешение суда на блокировку 277 доменов в зоне .com, которые связаны с крупным ботнетом Waledac, обвиненным в распространении более 1,5 млрд нежелательных сообщений в день

Билл Гейтс может быть доволен исходом борьбы со спамерами. РИА Новости

Microsoft выиграла суд о закрытии глобальной бот-сети, которая ежедневно рассылала более 1,5 млрд спам-сообщений ежедневно. Американский судья удовлетворил ходатайство компании о закрытии 277 доменов, которые использовались для управления и контроля бот-сетью Waledac, сообщает BBC.

Ботнет представляет собой сеть зараженных компьютеров, находящихся под контролем хакеров. Waledac считается самым крупным распространителем вредоносного кода и спама в прошлом году.

По словам представителей Microsoft, они надеются, что это позволит софтверному гиганту нанести серьезный удар по этому ботнету, отключив командные сервера, которые использовались злоумышленниками для управления тысячами зараженных машин.

По данным компании, закрытие доменов исключит из спамерской сети около 90 тысяч зараженных компьютеров. Недавний анализ Microsoft показал, что в период с 3-го по 21 декабря через сеть Waledac на учетные записи пользователей службы Hotmail, принадлежащей компании, пришло около 651 млн нежелательных сообщений.

Как правило, компьютеры бот-сети инфицированы вирусом, «червем», и чаще всего их владельцы не подозревают об этом. Microsoft поэтому советует всем потенциальным жертвам запустить антивирусное программное обеспечение.

В целом же нынешнее постановление суда стало частью так называемой операции B49, которую Microsoft проводил в кооперации с Shadowserver, Вашингтонским университетом, компанией Symantec. На то, чтобы заставить Verisign, управляющую .сom, отключить домены, ушло несколько месяцев.

По словам директора лаборатории контентной фильтрации «Лаборатории Касперского» Андрея Никишина, закрытие ботнета Waledac — это отличная новость, потому что до 90% спама идет с различных зомби-сетей. Но ожидать того, что закрытие приведет к резкому уменьшению количества спама, преждевременно.

«Подобных сетей уже очень много, и каждый день появляются новые. К примеру, в конце 2008 года закрыли несколько ботнетов одновременно, и спама стало меньше всего на несколько месяцев. Такое же развитие ситуации ожидается и в этот раз – обычно у спамеров уходит от 3 недель до 3 месяцев на полное восстановление», — поясняет свою позицию Андрей Никишин.

Так, буквально на прошлой неделе бот-сетью Kneber были заражены порядка 75 тыс. компьютеров в 2,5 тыс. организациях по всему миру, а также пользовательские аккаунты в популярных социальных сетях.

По данным лаборатории PandaLabs, новая бот-сеть использует троян Zeus, который впервые был зафиксирован еще в 2007 году, но, несмотря на это, эффективная защита от вредоносного кода пока так и не найдена.

«Мы должны заставить людей понять, что это реальная серьезная проблема на всех уровнях — от бизнеса и пользователей до правительств и институтов. Вопрос регулирования этой проблемы должен стать приоритетным.

В свою очередь, это повлечет за собой необходимость донести до широкой публики информацию о том, что обучение и информирование о безопасности – это ежедневная работа», — говорит технический директор PandaLabs Луис Корронс (Luis Corrons).

В России, по мнению Андрея Никишина, со спамом бороться еще сложнее, чем, например, в США. «У нас нет законов, позволяющих закрыть домены, с которых рассылается спам.

К тому же, насколько я знаю, российские компании не могут подать в суд на спамера, если не являются пострадавшей стороной.

В то же время «пострадавший», получивший десяток спам-писем, вряд ли будет тратить свое время на борьбу с таким спамером», — говорит эксперт.

Добавить BFM.ru в ваши источники новостей?

Ботнет. Как создаются ботнеты. Средства защиты от ботнетов

Сегодня ботнеты стали одним из главных инструментов киберпреступников. ComputerBild расскажет, что такое ботнеты, как они работают и как спасти свой компьютер от попадания в зомби-сеть.

Ботнет, или зомби-сеть, – это сеть компьютеров, зараженных вредоносной программой, позволяющей злоумышленникам удаленно управлять чужими машинами без ведома их владельцев. В последние годы зомби-сети стали стабильным источником дохода для киберпреступников.

Неизменно низкие издержки и минимум знаний, необходимых для управления ботнетами, способствуют росту популярности, а значит, и количества ботнетов.

На DDoS-атаках или спам-рассылках, осуществляемых с помощью зомби-сетей, злоумышленники и их заказчики зарабатывают тысячи долларов.

Заражен ли мой компьютер ботом?

Ответить на этот вопрос непросто. Дело в том, что отследить вмешательство ботов в повседневную работу ПК практически невозможно, поскольку оно никак не отражается на быстродействии системы. Тем не менее существует несколько признаков, по которым можно определить, что в системе присутствует бот:

— неизвестные программы пытаются осуществить соединение с Интернетом, о чем периодически возмущенно докладывает брандмауэр или антивирусное ПО;

— интернет-трафик становится очень велик, хотя вы пользуетесь Сетью весьма умеренно;

— в списке запущенных системных процессов появляются новые, маскирующиеся под обычные процессы Windows (к примеру, бот может носить имя scvhost.exe – это название очень похоже на название системного процесса Windows svchost.exe; заметить разницу довольно сложно, но – можно).

Зачем создаются ботнеты

Ботнеты создаются, чтобы зарабатывать деньги.

Можно выделить несколько сфер коммерчески выгодного применения зомби-сетей: DDoS-атаки, сбор конфиденциальной информации, рассылка спама, фишинг, поисковый спам, накрутка клик-счетчиков и пр.

Надо заметить, что прибыльным будет любое направление, какое бы злоумышленник ни выбрал, причем ботнет позволяет осуществлять все перечисленные виды деятельности одновременно.

Проведение DDoS-атак

DDoS-атаки могут быть как средством недобросовестной конкурентной борьбы, так и актами кибертерроризма. Хозяин ботнета может оказать услугу любому не слишком щепетильному предпринимателю – провести DDoS-атаку на сайт его конкурента. Атакуемый ресурс после такой нагрузки «ляжет», заказчик атаки получит временное преимущество, а киберпреступник – скромное (или не очень) вознаграждение.

Таким же образом сами владельцы ботнетов могут использовать DDoS-атаки для вымогания денег у крупных компаний.

При этом компании предпочитают выполнять требования киберпреступников, поскольку ликвидация последствий удачных DDoS-атак стоит весьма дорого. Например, в январе 2009 года один из крупнейших хостеров GoDaddy.

com подвергся DDoS-атаке, в результате которой тысячи сайтов, размещенных на его серверах, оказались недоступными почти на сутки. Финансовые потери хостера были огромны.

В феврале 2007 года был проведен ряд атак на корневые DNS-серверы, от работы которых напрямую зависит нормальное функционирование всего Интернета.

Маловероятно, что целью этих атак было обрушение Всемирной сети, ведь существование зомби-сетей возможно только при условии, что существует и нормально функционирует Интернет.

Больше всего это было похоже на демонстрацию силы и возможностей зомби-сетей.

Реклама услуг по осуществлению DDoS-атак открыто размещена на многих форумах соответствующей тематики. Цены на атаки колеблются от 50 до нескольких тысяч долларов за сутки непрерывной работы DDoS-ботнета. По данным сайта www.

shadowserver.org, за 2008 год было проведено порядка 190 тысяч DDoS-атак, на которых киберпреступники смогли заработать около 20 миллионов долларов.

Естественно, в эту сумму не включены доходы от шантажа, которые просто невозможно подсчитать.

Сбор конфиденциальной информации

Конфиденциальная информация, которая хранится на компьютерах пользователей, всегда будет привлекать злоумышленников.

Наибольший интерес представляют номера кредитных карт, финансовая информация и пароли к различным службам: почтовым ящикам, FTP-серверам, «мессенджерам» и др.

При этом современные вредоносные программы позволяют злоумышленникам выбирать именно те данные, которые им интересны, – для этого достаточно загрузить на ПК соответствующий модуль.

Злоумышленники могут либо продать украденную информацию, либо использовать ее в своих интересах. На многочисленных форумах в Сети каждый день появляются сотни объявлений о продаже банковских учетных записей. Стоимость учетной записи зависит от количества денег на счету пользователя и составляет от 1 до 1500 долларов за счет.

Нижняя граница свидетельствует о том, что в ходе конкурентной борьбы киберпреступники, занимающиеся такого рода бизнесом, вынуждены снижать цены. Чтобы заработать действительно много, им необходим стабильный приток свежих данных, а для этого обязателен стабильный рост зомби-сетей.

Особенно интересна финансовая информация кардерам – злоумышленникам, занимающимся подделкой банковских карт.

О том, насколько выгодны такие операции, можно судить по известной истории с группой бразильских киберпреступников, которые были арестованы два года назад.

Они смогли снять с банковских счетов простых пользователей 4,74 миллиона долларов, используя украденную с компьютеров информацию.

В приобретении персональных данных, не имеющих прямого отношения к деньгам пользователя, заинтересованы и преступники, которые занимаются подделкой документов, открытием фальшивых банковских счетов, совершением незаконных сделок и т.д.

Еще одним видом собираемой ботнетами информации являются адреса электронной почты, причем, в отличие от номеров кредиток и учетных записей, из адресной книги одного зараженного ПК можно извлечь множество электронных адресов.

Собранные адреса выставляются на продажу, причем иногда «на развес» – помегабайтно. Основными покупателями подобного «товара» являются спамеры.

Список из миллиона e-mail-адресов стоит от 20 до 100 долларов, а заказанная спамерам рассылка на этот же миллион адресов – 150–200 долларов. Выгода очевидна.

Преступникам также интересны учетные записи различных платных сервисов и интернет-магазинов. Безусловно, они обходятся дешевле банковских учетных записей, но их реализация связана с меньшим риском преследования со стороны правоохранительных органов.

Рассылка спама

Что такое ботнеты? (И как они работают?)

Большинство людей никогда не слышали о ботнете, и это совершенно нормально. На самом деле, есть много людей, которые не хотят, чтобы вы знали, что такое ботнет!

Эти загадочные сети — не что иное, как неприятности, и последнее, чего вы хотите, — это быть вовлеченными в одну из них. Возможно, вы слышали их упоминания в новостях или в статьях, посвященных киберпреступности. Эти бот-сети, известные своей негативной и криминальной связью, на протяжении десятилетий оставались хорошо охраняемым секретом.

Чтобы пролить свет на эти секретные сети ботнетов, мы приоткрываем занавес и даем вам всесторонний взгляд на то, что они из себя представляют и чем занимаются. Для всех, кто когда-либо интересовался, что такое ботнет? Вот что вам нужно знать.

Что такое ботнет?

Проще говоря, ботнет (также называемый сетью роботов) — это сеть устройств, зараженных каким-либо вредоносным ПО (вредоносным ПО или вирусом), которые контролируются бот-пастухом.

Ботнеты существуют с начала 2000-х годов и значительно выросли за последние несколько десятилетий. Эти ботнеты являются прибыльным и прибыльным бизнесом для теневых киберпреступников. Их можно использовать для ряда незаконных действий, о которых мы поговорим позже.

Многие компьютеры, входящие в сеть ботнета, часто не подозревают, что являются частью такой схемы. В настоящее время многие антивирусные программы обнаруживают этот тип вредоносного ПО и удаляют его или останавливают его работу. Но на протяжении многих лет киберпреступники постоянно пытались избежать обнаружения с помощью этих программ.

По состоянию на 2021 год все еще работает множество ботнетов, и каждый месяц создаются новые.

Определение ботнета

Если это было слишком долго и запутанно, то более короткое и простое формальное определение ботнета можно определить как:

Сеть компьютеров и устройств, зараженных вредоносным ПО, которые контролируются бот-пастырем.

Первоначально ботнеты в основном использовались на настольных компьютерах и ноутбуках, но в последние годы многие ботнеты также начали включать мобильные и другие устройства, подключенные к Интернету (включая холодильники!).

Теперь вы хорошо понимаете, что такое ботнет, как именно он работает? И как они вообще делаются?

Как работают ботнеты

Ботнеты не создаются в одночасье, они требуют целого ряда компьютеров и устройств жертвы, которые часто называют компьютерами-зомби или рабами. Чтобы добавить один из этих компьютеров в ботнет, устройство должно быть сначала заражено вредоносным ПО.

Устройство может быть заражено разными способами, и киберпреступники постоянно придумывают новые способы распространения вредоносного ПО для своих ботнетов.

Самый распространенный способ — отправить вложения электронной почты или скрыть их в другом законном программном обеспечении.

В большинстве случаев пользователь не узнает о зараженном устройстве, если его не обнаружит антивирусное программное обеспечение, но многие из этих ботнетов на самом деле остаются незамеченными в течение длительного времени.

Как только пастух ботнета (также известный как хозяин ботнета) получит достаточное количество устройств и компьютеров под контролем, он может начать указывать им, что делать, с помощью удаленных команд.

Кто контролирует ботнеты?

Ботнеты часто контролируются одним человеком или группой людей. Ботмастер может отправлять команды на отдельные устройства, инструктируя их, что делать. Это может быть что угодно: посещение веб-сайта, выполнение кода или попытка заразить другие компьютеры в той же сети.

В большинстве случаев многие бот-сети сдаются в аренду другим киберпреступникам для выполнения ряда различных ресурсоемких задач, о которых мы вскоре расскажем.

Правда в том, что выяснить, кто такие операторы ботнета, невероятно сложно, и многие из них навсегда остаются анонимными. Это в первую очередь связано с тем, что действия, выполняемые с помощью ботнета, очень часто являются незаконными, поэтому хакер не хочет, чтобы кто-либо знал, кто они.

Для чего используются бот-сети?

К настоящему моменту вы, наверное, задаетесь вопросом, зачем кому-то контролировать армию компьютеров? Что именно они со всеми ими делают?

Что ж, правда в том, что ботнеты пользуются большим спросом и используются множеством теневых преступников со всего мира.

Поскольку распределенная сеть обладает большой мощностью и универсальностью, эти сети могут использоваться для ряда злонамеренных целей, которые часто являются незаконными. Вместо одного компьютера, выполняющего всю работу, наличие армии компьютеров-ботнетов со всего мира может быть очень полезным при попытке избежать обнаружения.

Все эти зараженные боты будут иметь разные IP-адреса, что делает блокировку и обнаружение сети ботов невероятно сложной. Продолжая изменять свой IP-адрес, защитное программное обеспечение часто не может блокировать вредоносный сетевой трафик.

Вот некоторые из наиболее популярных случаев использования ботнетов.

DDoS-атаки

Одно из наиболее распространенных применений ботнета — запуск крупномасштабной распределенной атаки типа «отказ в обслуживании» (DDoS-атака). Скорее всего, вы слышали о них в новостях и о том, как они могут повлиять на любой бизнес.

Этот тип атаки ботнета часто используется для отключения веб-сайтов или серверов и серьезный сбой в работе бизнеса. Во многих случаях веб-сайты могут стать недоступными в течение длительного периода времени, что приводит к огромным финансовым потерям и простою.

Хотя это не обязательно приносит киберпреступникам деньги, злоумышленник часто шантажирует предприятия и веб-сайты, чтобы они заплатили им, чтобы остановить кибератаку.

Электронная рассылка спама

Почти каждый в мире то и дело получает спам-сообщения. Обещают ли они вам 5000 биткойнов или супер дешевые очки Raybans, большая часть этих писем отправляется через крупные бот-сети.

Традиционные электронные письма отправляются через один почтовый сервер списку контактов. Но если достаточное количество людей сообщит об этом как о спаме, то в конечном итоге этот почтовый сервер попадет в черный список, и электронные письма по умолчанию начнут попадать в их папку для спама.

Но при использовании большого ботнета с уникальными IP-адресами массовая рассылка спам-писем может быть намного более успешной с точки зрения доставляемости и открываемости.

Скликивание рекламы

Поскольку каждый компьютер имеет свой уникальный след, это делает их идеальными для нажатия на платные объявления. Поскольку каждый клик стоит денег рекламодателям, ботнеты могут использоваться для обмана тысяч рекламодателей в месяц.

Ботнет

Ботнет (сокращение английского «ро бот сети  »: „сеть роботов“) представляет собой сеть компьютерных ботов , программ , подключенных к сети Интернет , которые осуществляют связь с другими аналогичными программами для выполнения определенных задач.

Исторически ботнетом назывались ботнеты IRC . Значение ботнета распространилось на ботнеты ботнетов , используемых, в частности, для добычи криптовалюты, но также и для злонамеренных целей , таких как рассылка спама и компьютерных вирусов или атаки типа «отказ в обслуживании» (DDoS).

Законное использование

В IRC они используются для управления каналами обсуждения или для предложения пользователям различных услуг, таких как игры, статистика канала и т. Д.

Подключаясь к сети позволяет им давать друг друг статус оператора канала в безопасном режиме, чтобы эффективно контролировать наводнение атаку или другие атаки .

Совместное использование списков пользователей, банов и любой другой информации делает их более эффективными.

Есть и другие законные способы использования ботнетов, такие как веб-индексирование  : объем данных, которые необходимо исследовать, и необходимое использование распараллеливания требует использования бот- сетей .

Злоупотребления и злонамеренное использование

Первые дрейфы появились в сетях IRC: ботнеты IRC ( Eggdrop в декабре 1993 г., затем GTbot в апреле 1998 г.) использовались во время столкновений для захвата контроля над каналом.

Сегодня этот термин очень часто используется для обозначения сети бот-машин , потому что IRC был одним из первых средств, используемых вредоносными сетями для связи друг с другом, отвлекая основное использование IRC. Первым из них, на который была сделана ссылка, был W32 / Pretty.

worm, также называемый PrettyPark, предназначенный для 32-разрядных сред Windows и воплощающий идеи Eggdrop и GTbot.

В то время они не считались очень опасными, и только в 2002 году несколько вредоносных ботнетов (Agobot, SDBot, затем SpyBot в 2003 году) заставили людей говорить о них, и угроза резко возросла.

• Любая машина, подключенная к Интернету, скорее всего, станет целью стать машиной-зомби  : машины Windows, которые представляют собой большинство зараженных машин, но также, в меньшей степени, машины Linux, Apple, даже игровые консоли или устройства, маршрутизаторы.
• В 2007 году Винт Серф считал, что каждый четвертый компьютер является частью ботнета.
• В последнее время это явление развивается на телефонных терминалах типа смартфонов и, в частности, в операционной системе Android, где в декабре 2010 года появился китайский троян под названием «Geinimi».

Основной характеристикой ботнетов является объединение нескольких отдельных машин, иногда очень многочисленных, что делает желаемую деятельность более эффективной (поскольку у нас есть возможность использовать много ресурсов), но ее также труднее остановить.

Использование ботнетов

Вредоносные ботнеты в основном используются для:

• Рассылка спама о незаконной торговле или манипулировании информацией (например, ценами на акции);
• Осуществлять фишинговые операции  ;
• Выявлять и заражать другие машины, распространяя вирусы и вредоносные программы ( вредоносное ПО );
• Участвовать в групповых атаках типа «отказ в обслуживании» ( DDoS );
• Генерировать оскорбительные клики по рекламной ссылке на веб-странице ( мошенничество с кликами );
• Сбор информации о скомпрометированных машинах (кража и последующая перепродажа информации);
• Использовать вычислительную мощность машин или выполнять распределенные вычислительные операции, в частности, для взлома паролей  ;
• Украсть пользовательские сеансы путем заполнения учетных данных  ;
• Осуществлять незаконные торговые операции, управляя доступом к сайтам продаж запрещенных или контрафактных продуктов с помощью быстрых , одно- или двухпоточных методов или методов RockPhish;
• Майнинг криптовалют , например биткойнов .

Мотивация хакеров

1. Спам  : чтобы отправлять больше писем.
2. DDoS  : отправьте больше атак на сервер, чтобы он перестал работать.
3. Брутфорс  : поиск пароля быстрее.
4. Майнинг криптовалюты .

Экономическая мотивация

Экономический аспект имеет первостепенное значение: размер ботнета, а также возможность простого контроля являются элементами, которые способствуют привлечению преступной деятельности, как для владельца ботнета (иногда называемого «нарушителем» или «ботмастером»), так и для пользователи, которые чаще всего пользуются услугами ботнета для выполнения конкретной задачи (рассылка спама, компьютерные атаки, отказ в обслуживании, кража информации и т. д.). В апреле 2009 года ботнет из 1 900 000 машин, обнаруженный компанией Finjian, приносил ее «ботмастерам» ориентировочный доход в 190 000 долларов в день.

Идеологическая мотивация

Помимо экономического аспекта, компьютерные атаки могут стать оружием пропаганды или возмездия, особенно во время вооруженных конфликтов или во время символических событий.

Например, во время конфликта между Россией и Грузией в 2008 году грузинская сеть подверглась множественным атакам (чтобы сделать ее недоступной или взломать официальные сайты).

В 2007 году было совершено крупное нападение на Эстонию : пираты мотивировались сносом памятника русским солдатам из центра эстонской столицы. Считается, что в начале 2010 года Вьетнам стоял за ботнетом, направленным на подавление политического инакомыслия.

Личная мотивация

Месть или шантаж также могут быть частью мотивации злоумышленников, причем финансовый аспект не обязательно имеет первостепенное значение: плохо оплачиваемый сотрудник или проигравшие онлайн-игроки могут стремиться отомстить работодателю или победителю игры.

Архитектура ботнета

Целевые машины

Ботнеты, состоящие из персональных компьютеров или серверов, теперь также состоят из смартфонов или любых подключенных объектов .

Текущий режим связи ботнета

Через канал управления и контроля (C&C)

• IRC- каналы (первые исторически), часто на частном канале.

• P2P , чтобы больше не зависеть от центрального узла;
• HTTP (иногда через скрытые каналы ), главное преимущество которого состоит в том, что он больше не требует постоянного подключения, как для каналов IRC или P2P, а смешивается с традиционным веб-трафиком;
• Функции Web 2.0 , выполняя простой поиск по определенным ключевым словам для определения центров заказов или команд, к которым должна подключаться сеть.