Οι ερευνητές της Kaspersky Lab δημοσίευσαν έκθεση σχετικά με τη δραστηριότητα των botnets κατά το πρώτο εξάμηνο του 2018 αναλύοντας περισσότερες από 150 οικογένειες κακόβουλων λογισμικών και τις τροποποιήσεις τους που κυκλοφορούν μέσω 60.000 botnets σε όλο τον κόσμο. Ένα από τα πιο αξιοσημείωτα πράγματα που αποκαλύφθηκαν από την έρευνα ήταν η αυξανόμενη διεθνής ζήτηση για το πολυλειτουργικό αυτό κακόβουλο λογισμικό που δεν έχει σχεδιαστεί για συγκεκριμένο σκοπό, αλλά είναι αρκετά ευέλικτο για να εκτελεί σχεδόν κάθε ενέργεια.
Τα botnets – δίκτυα παραβιασμένων συσκευών που χρησιμοποιούνται σε εγκληματικές δραστηριότητες – χρησιμοποιούνται από εγκληματίες για την εξάπλωση κακόβουλων λογισμικών και διευκολύνουν τις επιθέσεις DDoS και spam. Χρησιμοποιώντας την τεχνολογία εντοπισμού Botnet Tracking της Kaspersky Lab, οι ερευνητές της εταιρείας παρακολουθούν συνεχώς τη δραστηριότητα των botnets για να αποτρέψουν τις επικείμενες επιθέσεις ή να εντοπίσουν κάποιον νέο τύπο Banker Trojan. Η τεχνολογία αυτή λειτουργεί με το να μιμείται μια συσκευή που έχει τεθεί σε κίνδυνο, παγιδεύοντας τις εντολές που λαμβάνονται από τους φορείς απειλής που χρησιμοποιούν τα botnets για τη διανομή κακόβουλου λογισμικού. Αυτό παρέχει στους ερευνητές πολύτιμα δείγματα και στατιστικά στοιχεία για τα κακόβουλα λογισμικά.
Με βάση τα αποτελέσματα πρόσφατων ερευνών, κατά το πρώτο εξάμηνο του 2018, το μερίδιο των κακόβουλων προγραμμάτων που διανεμήθηκαν μέσω botnet, μειώθηκε σημαντικά σε σύγκριση με το δεύτερο εξάμηνο του 2017. Για παράδειγμα, το δεύτερο εξάμηνο του 2017, το 22,46% όλων των μοναδικών κακόβουλων αρχείων που διανεμήθηκαν μέσω των botnet που παρακολουθούνται από την Kaspersky Lab ήταν banking Trojans, ενώ το πρώτο εξάμηνο του 2018, το μερίδιο των bankers μειώθηκε κατά 9,21 ποσοστιαίες μονάδες – δηλαδή το 13,25% όλων των κακόβουλων αρχείων που εντόπισε η υπηρεσία Botnet Tracking.
Το μερίδιο των spam bots – ένας άλλος τύπος κακόβουλου λογισμικού, μοναδικού σκοπού, που διανέμονται μέσω botnet – μειώθηκε επίσης σημαντικά: από 18,93% το δεύτερο εξάμηνο του 2017, σε 12,23% το πρώτο εξάμηνο του 2018. Τα DDoS bots, αποτελούν ακόμα ένα κακόβουλο λογισμικό μοναδικού σκοπού, το οποίο μειώθηκε από 2,66% το δεύτερο εξάμηνο του 2017 σε 1,99% το πρώτο εξάμηνο του 2018.
Την ίδια στιγμή, η πιο ξεχωριστή εξέλιξη παρουσιάστηκε από ένα κακόβουλο λογισμικό ευέλικτης φύσεως, και συγκεκριμένα το Remote Access Tools (RAT), το οποίο παρέχει σχεδόν απεριόριστες δυνατότητες εκμετάλλευσης ενός «μολυσμένου» υπολογιστή. Από το πρώτο εξάμηνο του 2017, το σύνολο των αρχείων RAT που βρέθηκαν μεταξύ των κακόβουλων προγραμμάτων που διανεμήθηκαν από τα botnets, σχεδόν διπλασιάστηκε αυξάνοντας το ποσοστό από 6,55%, σε 12,22%. Τα Njrat, DarkComet και Nanocore βρέθηκαν στην κορυφή της λίστας των πιο διαδεδομένων RAT. Λόγω της σχετικά απλής δομής τους, μπορούν να τροποποιηθούν ακόμη και από έναν ερασιτέχνη φορέα απειλής. Αυτό επιτρέπει στο κακόβουλο λογισμικό να προσαρμοστεί και να διανεμηθεί σε συγκεκριμένες περιοχές.
Τα Trojans που χρησιμοποιούνται επίσης για ένα πλήθος δραστηριοτήτων δεν παρουσίασαν τόσο μεγάλη πρόοδο όσο τα RAT, σε αντίθεση με πολλά κακόβουλα προγράμματα μοναδικού σκοπού, το μερίδιό τους αυξήθηκε από 32,89% το δεύτερο εξάμηνο του 2017 σε 34,25% το πρώτο εξάμηνο του 2018. Όπως ακριβώς και τα backdoors, μια οικογένεια Trojan μπορεί να τροποποιηθεί και να ελεγχθεί από πολλούς servers εντολών και ελέγχου (C & C), με διαφορετικούς σκοπούς, για παράδειγμα, ψηφιακή κατασκοπεία ή κλοπή πιστοποιήσεων.
«Ο λόγος για τον οποίο τα RAT και τα άλλα κακόβουλα λογισμικά πολλαπλών χρήσεων παίρνουν το προβάδισμα σε σχέση με τα botnets είναι προφανής: η ιδιοκτησία του botnet κοστίζει ένα σημαντικό χρηματικό ποσό και για να αποκομίσουν οι εγκληματίες κέρδος πρέπει να μπορούν να τα χρησιμοποιούν σε κάθε ευκαιρία για να εισπράξουν χρήματα από το κακόβουλο λογισμικό. Ένα botnet που έχει κατασκευαστεί από κακόβουλο λογισμικό πολλαπλών χρήσεων, μπορεί να αλλάξει τις λειτουργίες του σχετικά γρήγορα και να χρησιμοποιηθεί είτε για την αποστολή ανεπιθύμητου μηνύματος, για DDoS επίθεση ή για τη διανομή τραπεζικών Trojans. Ενώ αυτή η δυνατότητα επιτρέπει στον ιδιοκτήτη του botnet να αλλάζει μεταξύ διαφορετικών «ενεργών» κακόβουλων επιχειρηματικών μοντέλων, δίνει επίσης την ευκαιρία για ένα παθητικό εισόδημα: ο ιδιοκτήτης μπορεί απλά να νοικιάσει το botnet σε άλλους εγκληματίες», δήλωσε ο Alexander Eremin, ειδικός ασφαλείας στην Kaspersky Lab.
Ο μόνος τύπος κακόβουλων προγραμμάτων μοναδικού σκοπού που επέδειξε εντυπωσιακή ανάπτυξη στα δίκτυα των botnet ήταν τα miners. Παρόλο που το ποσοστό των εγγεγραμμένων φακέλων τους δεν είναι συγκρίσιμο με το πολύ δημοφιλές πολυλειτουργικό κακόβουλο λογισμικό, το μερίδιό τους αυξήθηκε κατά δύο φορές και αυτό ταιριάζει με τη γενική τάση μιας κακόβουλης εξόρυξης, όπως είχαν εντοπίσει και οι ειδικοί μας.
Για να μειώσουν τον κίνδυνο μετατροπής των συσκευών τους σε μέρος ενός botnet, συνιστάται στους χρήστες να:
- Ενημερώνουν το λογισμικό στον υπολογιστή τους μόλις είναι διαθέσιμες οι ενημερώσεις ασφαλείας για τα πιο πρόσφατα bugs που έχουν αποκαλυφθεί. Οι μη προστατευμένες συσκευές μπορούν να αξιοποιηθούν από τους ψηφιακούς εγκληματίες και να συνδεθούν σε ένα botnet.
- Μην κατεβάζουν πειρατικό λογισμικό και άλλο παράνομο περιεχόμενο, καθώς αυτά συχνά χρησιμοποιούνται για τη διανομή κακόβουλων bots.
- Χρησιμοποιούν το Kaspersky Internet Security για να αποτρέψουν τη «μόλυνση» τους υπολογιστή τους από οποιοδήποτε είδους κακόβουλου λογισμικού, συμπεριλαμβανομένου του λογισμικού που χρησιμοποιείται για τη δημιουργία botnet.