30 sierpnia 2018

Aktywność botnetów w pierwszej połowie 2018 r.: coraz więcej wielofunkcyjnych szkodliwych narzędzi

Badacze z Kaspersky Lab opublikowali raport dotyczący aktywności sieci zainfekowanych urządzeń (tzw. botnetów) w pierwszej połowie 2018 r. Przeanalizowano ponad 150 rodzin szkodliwych programów oraz ich modyfikacji rozprzestrzenianych za pośrednictwem 60 000 botnetów na całym świecie. Jednym z najistotniejszych ustaleń badania był rosnący popyt na świecie na wielozadaniowe szkodliwe oprogramowanie, które nie zostało przygotowane z myślą o konkretnych zastosowaniach, a zamiast tego jest wystarczająco elastyczne, żeby wykonać niemal dowolne zadanie.


Botnety - sieci zhakowanych urządzeń wykorzystywanych do aktywności przestępczej - są stosowane przez przestępców do rozprzestrzeniania szkodliwego oprogramowania i wspomagania ataków DDoS oraz masowych wysyłek spamowych. Przy użyciu autorskiej technologii śledzenia botnetów (Botnet Tracking) badacze z Kaspersky Lab nieustannie monitorują aktywność cyberprzestępców, aby zapobiec ewentualnym atakom lub zdusić w zarodku rozprzestrzenianie nowych szkodliwych programów. Działanie tej technologii polega na emulowaniu zhakowanego urządzenia i zastawiania pułapek na polecenia wysyłane przez cyberprzestępców, którzy wykorzystują botnety w celu rozprzestrzeniania szkodliwego oprogramowania. W ten sposób badacze uzyskują cenne próbki szkodliwego oprogramowania oraz dane statystyczne.

Na podstawie wyników przeprowadzonego niedawno badania można stwierdzić, że w pierwszej połowie 2018 r. udział szkodliwego oprogramowania tworzonego w jednym, określonym celu i rozprzestrzenianego za pośrednictwem botnetów zmniejszył się znacząco w porównaniu z drugą połową 2017 r. Na przykład w drugiej połowie 2017 r. 22,46% wszystkich unikatowych plików szkodliwego oprogramowania rozprzestrzenianych za pośrednictwem botnetów monitorowanych przez Kaspersky Lab stanowiły trojany bankowe, podczas gdy w pierwszej połowie 2018 r. ich udział zmniejszył się o 9,21 proc. - do 13,25% wszystkich plików szkodliwego oprogramowania wykrytych przez technologię Botnet Tracking.

Znacząco zmniejszył się również - z 18,93% w drugim kwartale 2017 r. do 12,23% w pierwszym kwartale 2018 r. - udział botów spamowych, które także stanowią rodzaj jednozadaniowego szkodliwego oprogramowania rozprzestrzenianego za pośrednictwem botnetów. Podobnie było w przypadku botów DDoS, które odnotowały spadek z 2,66% w drugiej połowie 2017 do 1,99% w pierwszej połowie 2018 r.

Jednocześnie najwyraźniejszy wzrost wykazało wielozadaniowe szkodliwe oprogramowanie. W szczególności szkodliwe oprogramowanie z kategorii narzędzi zdalnego dostępu (ang. Remote Administration Tool - RAT), które zapewniają niemal nieograniczone możliwości wykorzystywania zainfekowanych komputerów PC. Od pierwszej połowy 2017 r. udział plików RAT identyfikowanych wśród szkodliwego oprogramowania rozprzestrzenianego za pośrednictwem botnetów wzrósł niemal dwukrotnie (z 6,55% do 12,22%). Njrat, DarkComet oraz Nanocore znalazły się na szczycie listy najbardziej rozpowszechnionych narzędzi RAT. Ze względu na stosunkowo prostą strukturę te trzy "tylne furtki", lub inaczej backdoory, mogą zostać zmodyfikowane nawet przez cyberprzestępców nieposiadających zaawansowanej wiedzy technicznej. W ten sposób szkodnik może być dostosowywany do dystrybucji w określonym regionie.

Trojany, które również są wykorzystywane do wielu celów, nie wykazały tak dużego wzrostu jak narzędzia RAT, ale w przeciwieństwie do wielu jednozadaniowych szkodliwych programów udział wykrytych trojanów wzrósł z 32,89% w drugiej połowie 2017 r. do 34,25% w pierwszej połowie 2018 r. Tak jak w przypadku backdoorów, jedna rodzina trojanów może być modyfikowana i kontrolowana przez wiele różnych serwerów kontroli, z których każdy służy innemu celowi, np. cyberszpiegostwu lub kradzieży danych uwierzytelniających.

Przyczyna, dla której narzędzia RAT i inne wielozadaniowe szkodliwe programy znajdują się na prowadzeniu pod względem rozprzestrzeniania za pośrednictwem botnetów, jest oczywista: utrzymywanie botnetu jest kosztowne, dlatego aby osiągnąć zyski, cyberprzestępcy powinni móc wykorzystywać każdą możliwość zarobienia pieniędzy na szkodliwym oprogramowaniu. Botnet składający się z wielozadaniowych szkodników może stosunkowo szybko zmieniać swoje funkcje i zamiast wysyłania spamu, przeprowadzać ataki DDoS lub rozprzestrzeniać trojany bankowe. Możliwość ta nie tylko pozwala właścicielowi botnetu przełączać się pomiędzy różnymi modelami biznesowymi, ale również stwarza szansę uzyskania pasywnego dochodu: właściciel może po prostu wynająć botnet innym przestępcom - powiedział Aleksander Jeremin, ekspert ds. cyberbezpieczeństwa, Kaspersky Lab.

Jedynym rodzajem jednozadaniowych szkodliwych programów, które wykazały imponujący wzrost, jeśli chodzi o programy rozprzestrzeniane za pośrednictwem botnetów, były koparki kryptowalut, które odnotowały dwukrotny wzrost, co wpisuje się w ogólny trend wzrostu liczby szkodliwych programów do wydobywania kryptowaluty, który eksperci z Kaspersky Lab zaobserwowali wcześniej tego roku.

Użytkownikom, którzy nie chcą, aby ich urządzenia stały się częścią botnetu, zaleca się następujące działania:

  • Łataj oprogramowanie na swoim komputerze - rób to niezwłocznie po tym, jak zostaną udostępnione aktualizacje bezpieczeństwa dla wykrytych błędów. Niezałatane urządzenia mogą zostać wykorzystane przez cyberprzestępców i przyłączone do botnetu.
  • Nie pobieraj pirackiego oprogramowania oraz innego rodzaju nielegalnych treści, ponieważ często są one wykorzystywane do rozprzestrzeniania szkodliwych narzędzi.
  • Stosuj skuteczne rozwiązanie bezpieczeństwa (np. Kaspersky Internet Security), aby zapobiec zainfekowaniu komputera dowolnym rodzajem szkodliwych programów, łącznie z tymi wykorzystywanymi do tworzenia botnetów.
Dalsze informacje na temat cyberprzestępczej aktywności związanej z botnetami są dostępne na stronie https://securelist.com/what-are-botnets-downloading/87658/.

Informację można wykorzystać dowolnie z zastrzeżeniem podania firmy Kaspersky Lab jako źródła.

Wszystkie informacje prasowe Kaspersky Lab Polska są dostępne na stronie https://www.kaspersky.pl/nowosci.