Porozmawiajmy o botnetach

Ada Maj

, Publikacje

Zdjęcie botnetu Ramnit

W drugiej połowie lutego Europol poinformował (1) o tym, że w ramach wspólnego działania organów ścigania prowadzonych przez Europol, przeprowadzono potężną operację mającą na celu unieszkodliwienie działania botnetu Ramnit (zobacz artykuł Co to jest botnet?).

W akcji uczestniczyła policja brytyjska zajmująca się zwalczaniem cyberprzestępczości, eksperci z Niemiec, Włoch i Holandii. Partnerami Europejskiego Centrum Zwalczania Cyberprzestępczości działającego w ramach Europolu byli również CERT-EU (The European Union Computer Emergency Response Team), Symantec, Microsoft i AnubisNetworks. Celem akcji było ograniczenie aktywności kilku głównych serwerów kontrolno-zarządzających botnetu Ramnit.

Jak widzimy rozwój technologii spowodował, że obserwujemy takie zjawiska jak – po pierwsze zjawisko cyberprzestępczości o charakterze globalnym i po drugie coraz częstszej walce z nim poprzez współpracę międzynarodową. W minionym roku tego typu kooperacja pozwoliła zamknąć botnet Gameover Zeus oraz zatrzymać szkodliwy program Shylock, w ramach której to operacji odłączono serwery, które to stanowiły system kontroli trojana a także zamknięto domeny wykorzystywane przez cyberprzestępców do komunikacji z zainfekowanymi komputerami. Programu Shylock atakował systemy bankowości elektronicznej na całym świecie.

Botnety takie jak Ramnit wykorzystywane są do ataków finansowych, rozprzestrzeniają szkodliwe oprogramowanie (bardzo często w wiadomościach e-mail, portalach społecznościowych itp. znajdują się bardzo wiarygodnie wyglądające odnośniki, a ofiara zostaje zainfekowana w momencie kliknięcia na taki fałszywy link). Podobnie jest z wszelkiego rodzaju technikami phishingowymi.

Botnet Ramnit zarażał komputery od 2012 roku, wykorzystywany był do kradzieży pieniędzy z kont bankowych na ogromną skalę. Jak podaje Europol przez ten czas zostało zainfekowanych ponad 3,2 mln komputerów z systemem Windows.

Ramnit działa jako backdoor, dając atakującym stojącym za botnetem zdalny dostęp do zainfekowanych komputerów, łącznie z informacjami bankowymi ofiar.

Co teraz dzieje się z botnetem Ramnit?

Pomimo potężnej akcji mającej na celu unieszkodliwienie botnetu, analitycy firmy Doctor Web2 informują, że nadal jest aktywny i kontynuują monitorowanie jego aktywności. Jak twierdzą „monitorują kilka podsieci botnetu, stworzonych przez cyberprzestępców z użyciem różnych wersji wirusa Rmnet. Modyfikacja nazwana Win32.Rmnet.12 jest znana od września 2011. Win32.Rmnet.12 jest złożonym, wielokomponentowym wirusem zarażającym pliki, składającym się z kilku modułów. Posiada zdolność do samoreplikacji. Może wykonywać polecenia wydawane przez przestępców, osadzać treści w załadowanych stronach www (co teoretycznie pozwala cyberprzestępcom na uzyskanie dostępu do informacji o kontach bankowych ofiar), jak i wykradać „ciasteczka” i hasła zapisane w popularnych klientach FTP, takich jak Ghisler, WS FTP, CuteFTP, FlashFXP, FileZilla, Bullet Proof FTP i innych.”

Globalne trendy w rozwoju zagrożeń

Botnety, inaczej sieci komputerów sterowne przez przestępców internetowych dają im możliwość wysyłania setek tysięcy, a nawet miliony, wiadomości będących spamem lub przeprowadzania masowych ataków na serwery. Botnety są odpowiedzialne za znaczną część wszystkich ataków. Co stanowi duże, realne zagrożenie dla internautów, ich danych osobowych i finansów. Niestety  świadomość tychże internautów w zakresie bezpieczeństwa IT jest wciąż niewystarczająca.

Firma ESET 3 ostatnio opublikowała raport z opisem najbardziej znanych botnetów i wyrządzonych przez nie szkodach?
Przy okazji publikacji raportu o największych zagrożeniach lutego 2015, eksperci z firmy ESET opisali 8 największych sieci komputerów zombie ostatnich lat – informacje opublikowane przez ESET przedstawiamy poniżej.

8 największych sieci komputerów zombie ostatnich lat

Grum

Grum powstał w 2008 roku i w ciągu czterech lat stał się odpowiedzialny za 26% światowego ruchu spamowego. U szczytu swojej działalności w 2010 roku był w stanie 39,9 mld wiadomości dziennie, co czyniło go największym botnetem na świecie w tamtym czasie.

ZeroAccess

ZeroAccess jest jednym z ostatnio wykrytych i zamkniętych botnetów. Szacuje się, że kontrolował ponad 1,9 mln komputerów na całym świecie. Jego celem była generacja fałszywych kliknięć w banery reklamowe, uzyskując w ten sposób przychód w reklamach rozliczających się za jedno kliknięcie. Botnet zdobywał również bitcoiny, a do realizacji tego celu zużywał tyle energii z zainfekowanych komputerów, ile potrzebne jest do zasilania 111 tys. domów.

Kraken

Mówi się, że botnet Kraken zainfekował 10% wszystkich firm odnotowanych w rankingu ,,Fortune 500 companies”. Kontrolował prawie 500 tys. komputerów, a każdy z nich był w stanie wysyłać aż 600 tys. e-maili dziennie.

Windigo

Botnet Windigo został odkryty w zeszłym roku przez ekspertów ESET, wcześniej pozostawał niewykryty przez 3 lata. Od początku swojej działalności zaraził 10 tys. serwerów Linux, a tym samym wysyłał 35 mln wiadomości spamowych dziennie. Co ciekawe, botnet ten wysyłał trzy różne formy złośliwego oprogramowania, w zależności od systemu operacyjnego urządzenia odbierającego: złośliwe oprogramowanie dla komputerów z systemem Windows, reklamy stron randkowych dla użytkowników Mac OS X oraz treści pornograficzne dla użytkowników iPhone.

Storm

Wielkość botnetu Storm wahała się między 250 tys. a 50 mln komputerów. Po raz pierwszy wykryty w 2007 roku, swoją nazwę zawdzięcza tematowi wiadomości spamowej, którą rozsyłał. Uznany za jeden z pierwszych botnetów w sieci peer-to-peer (kontrolowane komputery nie były zarządzane z jednego centralnego serwera). Jego celem były oszustwa w cenach akcji i kradzież tożsamości.

Cutwail

Botnet kontrolował do 2 mln komputerów w 2009 roku, wysyłając 74 mld wiadomości spamowych dziennie, czyli prawie milion na minutę. Ten wynik to 46,5% całej światowej ilości spamu w tamtym czasie. W 2010 roku naukowcy z Uniwersytetu Kalifornia w Santa Barbara i Uniwersytetu Ruhry w Bochum wyłączyli dwie trzecie serwerów sterujących botnetem Cutwail.

Srizbi

Botnet Srizbi był aktywny tylko przez rok lub dwa, ale w tym czasie komputery pod jego kontrolą były odpowiedzialne za 60% całego spamu na świecie – 60 mld maili dziennie w latach 2007-2008. Kiedy jego host został wyłączony, ilość spamu na całym świecie spadła o 75%.

Metulji i Mariposa

Zarówno botnet Metulji jak i Mariposa zainfekowały ponad 10 mln maszyn każdy, co czyni je największymi botnetami pod względem zasięgu. Uważa się, że Metulji został wykorzystany do kradzieży haseł, numerów kart kredytowych i numerów ubezpieczenia społecznego o łącznej wartości milionów dolarów.

Krajobraz zagrożeń z sieci Internet w 2014 roku

Akcje takie jak zeszłoroczne zdjęcie botnetu „Zeus Gameover”, zatrzymanie trojana bankowego Shylock, czy też unieszkodliwienie działania botnetu Ramnit pokazują, że specjaliści od spraw bezpieczeństwa internetowego na całym świecie mają na swoim koncie wiele sukcesów w walce z sieciowymi atakami, a cyberprzestępcy nie są zupełnie bezkarni.

Według badań firmy Kaspersky Lab (4) ogólnie, w roku 2014 r. wykryto 22,9 mln ataków wykorzystujących finansowe szkodliwe oprogramowanie, wycelowanych w 2,7 mln użytkowników na całym świecie. Spośród wszystkich użytkowników atakowanych przez szkodliwe programy, 4,9% zetknęło się z jakąś formą zagrożenia finansowego.

Jednak pozytywnym zjawiskiem jest to, że ogólna liczba ataków na użytkowników w roku 2014 według wspomnianego raportu Kaspersky Lab, zmniejszyła się o ponad 20%, w porównaniu z rokiem 2013. To samo możemy powiedzieć o phishingu finansowym. Autorzy raportu dopatrują się trzech przyczyn zmniejszonej liczby ataków. Pierwsza to skoncentrowanie organów ścigania całego świata na aktywnym ściganiu cyberprzestępców, którzy rozprzestrzeniają złośliwe oprogramowanie finansowe i phishing. Druga to fakt przesunięcia celu cyberprzestępców – zamiast atakować użytkowników końcowych zaczęli interesować się organizacjami, które zajmują się lub współpracują z instytucjami finansowymi i narzędziami płatniczymi. Trzecia możliwa przyczyna zmniejszonej liczby cyberataków leży w ogólnym trendzie obserwowanym przez specjalistów. Cyberprzestępcy zaczęli się mniej interesować „masowymi” złośliwymi atakami na użytkowników, preferując ataki „ukierunkowane”.

Na zakończenie chcielibyśmy przypomnieć infografikę: Objawy tego, że twój komputer jest częścią botnetu.

 INFOGRAFIKA: Objawy tego, że twój komputer jest częścią botnetu

 

Zachęcamy również do zapoznania się poradami dotyczącymi radzenia sobie z sieciowymi atakami, opublikowanymi przez Urząd Komunikacji Elektronicznej, przygotowanymi we współpracy z naszą Fundacją: http://www.uke.gov.pl/files/?id_plik=18438

 

Źródła:

(1)  Europol –  https://www.europol.europa.eu/content/botnet-taken-down-through-international-law-enforcement-cooperation
(2) Doctor Web – http://www.freedrweb.com/show/?i=9310&c=19&lng=pl
(3) ESET – http://www.eset.pl/O_nas/Centrum_prasowe/Aktualnosci,news_id,10646
(4) Kaspersky Lab –  http://25zbkz3k00wn2tp5092n6di7b5k.wpengine.netdna-cdn.com/files/2015/02/KSN_Financial_Threats_Report_2014_eng.pdf

 

Share Button