Журнал ZDNet проходит по списку крупнейших ботнетов прошедшего десятилетия, от Necurs до Mirai
За последнее десятилетие в поле информационной безопасности был отмечен практически постоянный рост активности вредоносного ПО.
Без сомнения, 2010-е были десятилетием взрывного роста вредоносов, от обычного, полулюбительского состояния до полновесной криминальной операции, способной зарабатывать сотни миллионов долларов США в год.
И хотя в 2010-х отметились тысячи вариантов вредоносов, некоторые из ботнетов оказались на голову выше остальных как по размеру, так и распространению, достигнув состояния, которые некоторые исследователи безопасности назвали «сверхботнетами».
Такие разновидности вредоносов, как Necurs, Andromeda, Kelihos, Mirai или ZeroAccess заработали себе имя, заразив миллионы устройств по всему земному шару.
В данной статье сделана попытка суммировать информацию по крупнейшим ботнетам из всех, что мы видели за прошедшие десять лет. Поскольку отслеживание ботнета не может быть эффективным на 100%, мы перечислим их в алфавитном порядке, с указанием пикового размера, вычисленного на момент их расцвета.
3ve
3ve считается наиболее продвинутым кликфрод-ботнетом. Он работал с 2013 по 2018 года, пока его не отключили в результате международных координированных действий, при помощи Google и фирмы White Ops, занимающейся кибербезопасностью.
Ботнет полагался на смесь вредоносных скриптов, работающих на серверах дата-центров, и модули кликфрода, загруженные на компьютерах, заражённых сторонними вредоносами, типа Methbot и Kovter.
Операторы 3ve также создавали поддельные веб-сайты, где загружалась реклама, а потом использовали боты для псевдо-кликов на эту рекламу для извлечения прибыли. Считается, что в какой-то момент бот состоял из 1,5 млн домашних компьютеров и 1900 серверов, жмущих на рекламу, запущенную на 10 000 поддельных веб-сайтов.
Andromeda (Gamarue)
Вредонос Andromeda впервые нашли ещё в 2011, и это типичный ботнет для скачивания спама и вредоносов – эта схема также известна, как Malware-as-a-Service (MaaS).
Так мы называем такие вредоносные системы, где злоумышленники спамят большие количества пользователей с целью заразить их разновидностью вируса Andromeda (Gamarue). Затем злоумышленники используют заражённые хосты для отправки нового емейл-спама другим пользователям, что расширяет и поддерживает ботнет в рабочем режиме, или же скачивают вредоноса второго этапа действия по заказу других группировок.
Ботнеты MaaS, обеспечивающие возможность установки сторонних программ – наиболее прибыльные из криминальных схем, и злоумышленники используют различные варианты вредоносов для организации бэкенд-инфраструктуры такой операции.
Andromeda – один из вариантов таких вредоносов, бывший популярным несколько лет. Секрет успеха в том, что исходный код Andromeda утёк в онлайн, что позволило нескольким криминальным группировкам поднять свои собственные ботнеты и попробовать свои силы в «киберпреступлениях».
За эти годы компании, занимающиеся кибербезопасностью, отследили несколько криминальных группировок, работающих с ботнетом Andromeda. Крупнейшая из них заразила два миллиона хостов, и была закрыта Европолом в декабре 2017.
Bamital
Bamital – рекламный ботнет, работавший с 2009 по 2013 года. Его закрыли совместными усилиями Microsoft и Symantec.
На заражённом хосте вредонос Bamital подменял поисковые результаты, вставляя в них специальные ссылки и контент, перенаправляя пользователей на опасные сайты, предлагавшие скачивать программы со встроенными вредоносными программами.
Считается, что Bamital заразил более 1,8 млн компьютеров.
Bashlite
Bashlite, также известный под названиями Gafgyt, Lizkebab, Qbot, Torlus и LizardStresser — разновидность вредоноса, разработанная для заражения плохо защищённых домашних WiFi-роутеров, умных устройств и серверов Linux. Основная и единственная роль ботнета – выполнение атак DDoS.
Вредонос был создан в 2014 году членами хакерской группировки Lizard Squad, а его код утёк в сеть в 2015 году.
Из-за утечки эту программу часто используют в сегодняшних DDoS-ботнетах, и это второй по популярности вредонос в области IoT после Mirai. Сегодня существуют сотни разновидностей Bashlite.
Bayrob
Ботнет Bayrob был активен с 2007 по 2016. Цель его со временем менялась. В первой версии вредонос использовали как вспомогательный инструмент при мошенничестве на eBay.
Однако после того, как eBay и другие сайты прикрыли такую возможность, банда разработчиков Bayrob усовершенствовала свой ботнет и превратила его в инструмент для рассылки спама и майнинга криптовалют к середине 2010-х, когда, как говорят, он сумел заразить не менее 400 000 компьютеров.
Его прикрыли в 2016 году, когда авторов поймали в Румынии и выдали в США. Двоих основных разработчиков недавно посадили на 18 и 20 лет соответственно.
Bredolab
Считается, что Bredolab заразил 30 миллионов Windows-компьютеров (что невероятно много) с 2009 по ноябрь 2010 года, когда его прикрыли голландские полицейские, изъяв более 140 его управляющих серверов.
Ботнет создал армянский автор вредоносов, использовавший для заражения пользователей спам-рассылки и скрытые закачки. После заражения компьютеры пользователей использовались для рассылок спама.
Carna
Этот ботнет нельзя назвать «вредоносом». Его создал неизвестный хакер для осуществления интернет-переписи. В 2012 году он заразил более 420 000 интернет-роутеров, и просто собирал статистику напрямую с пользователей, без их разрешения.
Он заражал роутеры, не использовавшие пароль, или чья безопасность зависела от паролей по умолчанию или лёгких для подбора. Через несколько лет эту тактику взял на вооружение ботнет Mirai для осуществления DDoS-атак.
Chameleon
Chameleon был краткоживущим ботнетом, работавшим в 2013 году. Это один из редких видов ботнетов с рекламным мошенничеством. Его авторы заразили более 120 000 пользователей. Вредонос открывал в фоне Internet Explorer, и переходил на сайты по списку из 202 пунктов, где осуществлялись показы рекламы. Это помогло авторам ботнета зарабатывать до $6,2 млн в месяц.
Coreflood
Coreflood – одна из забытых угроз интернета. Он появился в 2001 году и был закрыт в 2011. Считается, что он заразил более 2,3 млн компьютеров с Windows, и на момент закрытия в июне 2011 года в мире работало более 800 000 ботов.
Операторы Coreflood использовали сайты с ловушками для заражения компьютеров пользователей при помощи техники под названием drive-by download. После заражения бот скачивал другого, более мощного вредоноса. Coreflood играл типичную роль скачивателя вредоносов.
Dridex
Dridex – один из наиболее известных на сегодня ботнетов. Вредонос и соответствующий ботнет существуют с 2011 года. Изначально проект назывался Cridex, а потом эволюционировал и получил имя Dridex (иногда его ещё называют Bugat).
Dridex – банковский троян, крадущий банковские реквизиты и дающий хакерам доступ к банковским аккаунтам, однако у него есть ещё и компонент, крадущий другую информацию.
Обычно этот вредонос распространяется через спам-письма с приложенными к ним файлами. Согласно некоторым отчётам, та же группа, что создала Dridex, управляет ещё и спам-ботнетом Necurs. У двух этих ботнетов есть похожие участки кода, а спам, распространяющий Dridex, всегда проходит через ботнет Necurs.
Одного из ведущих создателей Dridex арестовали в 2015, но ботнет продолжает свою работу и по сей день.
Размер ботнета (количество заражённых компьютеров) сильно менялся с годами. На сайте Malpedia на страницах, посвящённых ботнетам Dridex и TA505, хранится малая часть из сотен отчётов о работе Dridex, где показано, насколько большую активность проявлял ботнет в это десятилетие.
Emotet
Впервые Emotet встретили в 2014 году. Изначально он работал как банковский троян, но затем поменял роль на доставщика других вредоносов в 2016 и 2017 годах.
Сегодня Emotet – крупнейшая в мире операция MaaS, и преступники часто используют её для получения доступа к корпоративным сетям, где хакеры могут воровать файлы или устанавливать программы-вымогатели, шифрующие чувствительные данные и шантажирующие компании с требованием крупных выкупов.
Размер ботнета меняется от недели к недели. Кроме того, Emotet работает через три небольшие «эпохи» (мини-ботнета), что позволяет избежать закрытия из-за координированной работы правоохранительных органов, а также тестировать различные действия перед крупномасштабным внедрением.
Также ботнет известен под именем Geodo, и его технические возможности тщательно задокументированы. Ниже представлена диаграмма возможностей ботнета на момент написания статьи, составленная компанией Sophos Labs.
Festi
Ботнет Festi был создан при помощи одноимённого руткита. Он работал с 2009 по 2013 года, после чего его активность постепенно сошла на нет самостоятельно.
В лучшие времена, в 2011 и 2012 годах, ботнет заразил более 250 000 компьютеров, и мог отсылать более 2,5 млрд спам-писем ежедневно.
Кроме хорошо задокументированных возможностей по рассылке спама, иногда ботнет занимался DDoS-атаками, что ставит его в ряд редких ботнетов на базе Windows, когда-либо участвовавших в этом.
Он также известен под именем Topol-Mailer. Некоторые источники приписывают создание ботнета русскому программисту Игорю Артимовичу.
Gameover ZeuS
Ботнет работал с 2010 по 2014, после чего его инфраструктуру конфисковали международные правоохранительные органы.
Ботнет собирался через заражение компьютеров банковским трояном Gameover ZeuS, созданным на основе утекшего в сеть исходного кода трояна ZeuS. Считается, что он заразил до миллиона устройств.
Кроме кражи банковской информации у заражённых хостов, Gameover ZeuS также обеспечивал доступ на заражённые компьютеры другим киберпреступникам, чтобы те могли устанавливать собственных вредоносов. Ботнет был основным каналом распространения CryptoLocker, одной из первых программ-вымогателей, которые шифруют файлы, а не блокируют рабочий стол компьютера.
Главным оператором ботнета назвали до сих пор не арестованного российского гражданина Евгения Михайловича Богачёва. На текущий момент ФБР предлагает награду в $3 млн за информацию, которая приведёт к аресту Богачёва – это самое большое вознаграждение из всех, предлагаемых за хакеров.
Семейство Gozi
Семейство вредоносов Gozi заслуживает отдельного упоминания в этом списке из-за того влияния, которое оно оказывает на текущее положение дел с вредоносами, и не обязательно из-за размера ботнетов, созданных на его основе (большая часть из них была небольшого размера, но работала много лет).
Первый банковский троян Gozi разработали в 2006 году, как прямого конкурента трояну ZeuS и его предложениям MaaS.
Исходный код Gozi также утёк в онлайн (в 2010), и был сразу же взят на вооружение другими киберпреступниками, создавшими на его основе множество других банковских троянов, занявших нишу вредоносных программ в последние десять лет.
Хотя вариантов этого вредоноса было несколько десятков, наиболее устойчивой стали Gozi ISFB, the Vawtrak (Neverquest) и ботнет GozNym — комбинация Gozi IFSB и Nymain.
На сегодня Gozi считается устаревшим, поскольку не уживается с современными браузерами и ОС, и в последние годы от него постепенно отказываются.
Grum
Ботнет работал с 2008 по 2012 года, и был создан с использованием одноимённого руткита. На пике он достиг значительного размера в 840 000 заражённых компьютеров, в основном работавших под управлением Windows XP.
Ботнет закрыли в 2012 году после совместных усилий Spamhaus, Group-IB и FireEye, хотя к тому времени его размер уменьшился до жалких 20 000 компьютеров.
Основной целью ботнета было использование заражённых компьютеров для рассылки десятков миллионов спам-сообщений в день, в основном с рекламой лекарств и сайтов знакомств.
Hajime
Ботнет появился в апреле 2017 и работает до сих пор. Это классический ботнет для IoT, заражающий роутеры и умные устройства, используя неисправленные уязвимости и слабые пароли.
Он стал первым ботнетом для IoT, использующим структуру одноранговой сети (peer-to-peer, P2P). На пике он достиг размера в 300 000 заражённых устройств; однако он не смог поддерживать такой размер длительное время, и другие ботнеты начали откусывать от него по кусочку. Сейчас он сжался до 90 000 устройств.
Он никогда не занимался DDoS-атаками, и считается, что преступники использовали его для передачи используемого со злым умыслом трафика или подбора паролей по списку.
Kelihos (Waledac)
Ботнет был активным с 2010 по апрель 2017, когда власти, наконец, смогли закрыть его с четвёртой попытки – после неудач в 2011, 2012 и 2013 годах.
На пике ботнет состоял из сотен тысяч ботов, однако ко времени закрытия сдулся до 60 000 хостов.
Это был классический спам-ботнет, использующий заражённые хосты для рассылки спам-кампаний по емейлу по заказу различных мошенников.
Оператор ботнета был арестован в 2017 году в Испании и экстрадирован в США, где в прошлом году признал вину и теперь ждёт приговора.
Mirai
Этот ботнет разработали студенты, разозлившиеся на свой университет и планировавшие проводить против него DDoS-атаки; сегодня он стал наиболее распространённым вариантом вредоноса, работающего через IoT.
Он был разработан для заражения роутеров и умных устройств IoT, использующих слабые пароли или не использующих авторизацию при telnet-подключении. Заражённые устройства составляют ботнет, специально спроектированный для проведения DDoS-атак.
Им управляли частным порядком почти год до того момента, когда несколько атак привлекли к его операторам слишком много внимания. В попытках скрыть следы авторы ботнета опубликовали его исходники, надеясь, что другие люди поднимут свои ботнеты и не дадут органам правопорядка отследить источник оригинального.
Фокус не удался, а выпуск исходного кода значительно ухудшил ситуацию, когда несколько злонамеренных личностей получили бесплатный и мощный инструмент в свои руки. С тех пор ботнеты на основе Mirai ежедневно осаждают интернет-серверы DDoS-атаками, и некоторые отчёты указывают, что количество различных ботнетов на основе Mirai превышает 100 штук.
С момента публикации исходного кода ботнета в конце 2016 года авторы других ботнетов использовали его код для создания собственных вариантов вредоносов. Наиболее известные из них — Okiru, Satori, Akuma, Masuta, PureMasuta, Wicked, Sora, Owari, Omni, и Mirai OMG.
Necurs
Спам-ботнет, впервые попавшийся на глаза в 2012 году, и созданный, по некоторым данным, той же командой, которая управляет банковским трояном Dridex (а именно, TA505).
Единственная цель ботнета – заражать компьютеры с Windows и использовать их для рассылки спама. За время своей жизни ботнет уличали в рассылках спама по самым разным темам:
— виагра и лекарства,
— волшебные излечения,
— сайты знакомств,
— заработок на бирже и криптовалюте через накачку и сброс,
— спам, распространяющий другие вредоносные программы – троян Dridex или программы-вымогатели Locky и Bart.
Пика активности ботнет достиг в 2016-2017 гг., когда его можно было найти на 6-7 млн устройств. Он активен и сегодня, но уже не в таком масштабе. Вот краткий список технических отчётов о ботнете и некоторых его кампаниях.
Ramnit
Ramnit – ещё один ботнет, созданный для контроля одноимённого банковского трояна. Он появился в 2010 году и был основан на утекшем исходном коде старого трояна ZeuS.
В первой своей версии он достиг размера в 350 000 ботов, и привлёк внимание специалистов по кибербезопасности и сотрудников правоохранительных органов.
Власти прикрыли первую версию в феврале 2015 года, но поскольку они так и не смогли арестовать его авторов, операторы бота несколько месяцев спустя появились снова, с новым ботнетом.
Он активен и сегодня, однако его охват пока и близко не подошёл к пиковым показателям 2015-го.
Retadup
Вредонос Retadup и его ботнет впервые заметили в 2017. Это был простой троян, ворующий данные различных типов с заражённых хостов, и отправляющий информацию на удалённый сервер.
За трояном следили большую часть жизни, пока в августе 2019 Avast и французская полиция не предприняли активные действия для закрытия ботнета и не разослали копиям вредоносной программы команду на самоудаление со всех заражённых хостов.
Только тогда власти узнали, что этот ботнет был достаточно масштабным, и заразил более 850 000 систем по всему земному шару, в основном в Латинской Америке.
Smominru (Hexmen, MyKings)
Ботнет Smominru, также известный, как MyKings и Hexmen, является крупнейшим на сегодня из ботнетов, посвящённых исключительно криптомайнингу.
Он занимается этим на настольных компьютерах и промышленных серверах, доступ к которым обычно получает благодаря уязвимостям непропатченных систем.
Он появился в 2017 году, когда заразил более 525 000 компьютеров под управлением Windows и намайнил себе Monero (XMR) на сумму более $2,3 млн за первые месяцы работы.
Несмотря на падение цен на криптовалюты, ботнет активен и сегодня, и ежедневно заражает более 4700 устройств, судя по отчёту, опубликованному этим летом.
TrickBot
TrickBot работает по той же схеме, что и Emotet. Это бывший банковский троян, превратившийся в средство доставки вредоносных программ по схеме оплаты за каждую установку, и сейчас зарабатывает больше всего денег, устанавливая вредоносные программы других группировок на заражённых компьютерах.
Впервые ботнет появился в 2016 году, и большие участки кода его первые версии были взяты у уже не работающего трояна Dyre. Со временем остатки оригинальной банды Dyre создали TrickBot после того, как российские власти взяли в оборот нескольких членов команды в том же году.
Однако TrickBot недолго проработал в роли банковского трояна. К лету 2017 он медленно превратился в средство доставки вредоносных программ, примерно тогда же, когда похожее превращение претерпевал Emotet.
Хотя свидетельств того, что оба ботнета управляются одной командой, нет, они явно сотрудничают. Банда TrickBot часто сдаёт в аренду доступ к компьютерам, которые до этого были заражены Emotet. Команда Emotet позволяет это делать, даже несмотря на то, что TrickBot является одним из их главных конкурентов.
Размер ботнета TrickBot со временем менялся, от 30 000 до 200 000, в зависимости от источника информации и видимости ботнета в инфраструктуре вредоносов.
WireX
Одна из немногих хороших историй в этом списке. Этот ботнет закрыли всего через месяц после его запуска, после того, как несколько компаний и сетей доставки контента общими усилиями закрыли его инфраструктуру.
Ботнет был создан при помощи вредоноса WireX Android, внезапно появившегося в июле 2017 года и заразившего более 120 000 смартфонов всего за несколько недель.
Хотя большая часть современных вредоносов на Android используется для показа рекламы и ложных кликов на неё, этот ботнет вёл себя чрезвычайно шумно и использовался для DDoS-атак.
Это сразу привлекло фирм, занимающихся безопасностью, и совместными усилиями ботнет закрыли к середине августа того же года. В акции участвовали такие компании, как Akamai, Cloudflare, Flashpoint, Google, Oracle Dyn, RiskIQ и Team Cymru.
ZeroAccess
Этот ботнет был создан при помощи одноимённого руткита. Его операторы зарабатывали деньги, загружая другие вредоносы на заражённые компьютеры, и осуществляя ложные клики на рекламе.
Впервые его заметили в 2009, и закрыли в 2013 в результате операции под руководством Microsoft.
Согласно отчёту Sophos, за всё время своего существования ботнет заразил более 9 млн систем под управлением Windows, и на пике активности состоял из миллиона заражённых устройств, помогая операторам зарабатывать по $100 000 в день.
Сборник отчётов по работе ZeroAccess можно найти на сайтах Malpedia и Symantec.
