Zagrożenia w Internecie: botnet

Przeczytaj także: Mniej ataków hakerskich na polskie firmy. Nanocore zdetronizował Emotet

Po przeanalizowaniu około 100 milionów adresów IP zaatakowanych przez szkodliwe oprogramowanie stwierdzono, że liczba adresów, które pozostają zainfekowane (lub są ponownie infekowane) przez ponad 2 lata, osiągnęła maksimum, natomiast mediana dla krajów znajdujących się najwyżej na liście wynosi 300 dni. Według statystyk Trend Micro 80% wszystkich uszkodzonych systemów pozostaje zarażonych przez ponad miesiąc.

Nie są to dane optymistyczne. Firma Trend Micro ustaliła również, że 75% zainfekowanych adresów IP należy do klientów indywidualnych, a 25% — do przedsiębiorstw. Ponieważ adres IP odpowiada zwykle bramie internetowej do sieci komputerowej, można z nim powiązać większą liczbę zaatakowanych komputerów, co oznacza, że wskaźnik ten może być znacznie wyższy niż 25%.

Zdarza się, że zarażony komputer staje się częścią większej grupy, zwanej botnetem. Botnety często powodują szkody poprzez ataki złośliwego oprogramowania, oszustwa, kradzież informacji i inne przestępstwa. W 2009 r. praktycznie wszystkie szkodliwe programy wykryte przez specjalistów z firmy Trend Micro miały na celu głównie kradzież informacji (np. danych uwierzytelniających).

Dział badania zagrożeń Trend Micro sprawdził, które botnety są najbardziej niebezpieczne ze względu na kradzież informacji, danych finansowych i tożsamości.

Oto trzy obecnie najgroźniejsze botnety:

• Koobface
• ZeuS/Zbot
• Ilomo/Clampi

Botnety zainfekowały więcej komputerów, niż można by przypuszczać. Za ich pośrednictwem garstka przestępców (prawdopodobnie zaledwie kilkuset) kontroluje ponad 100 milionów maszyn na całym świecie. Oznacza to, że cyberprzestępcy dysponują większą mocą obliczeniową niż wszystkie superkomputery na świecie razem wzięte. Nic dziwnego, że w skali globalnej ponad 90% wiadomości poczty elektronicznej stanowi dziś spam.

Istnieje korelacja, wprawdzie niecałkowita, między dziesięcioma krajami, w których stwierdzono najwięcej zainfekowanych komputerów, a pierwszą dziesiątką tych, z których pochodzi najwięcej spamu. Na liście tych ostatnich Polska zajmuje 7 miejsce.

Specjaliści ds. zagrożeń z firmy Trend Micro ustalili, że przykładowo typowy botnet Koobface kontroluje obecnie około 51 000 komputerów za pomocą pięciu lub sześciu centrów dowodzenia i kontroli (command and control - C&C). Jeżeli domena C&C zostanie usunięta przez operatora Internetu, to gang Koobface zarejestruje ją u innego operatora. Od połowy marca do połowy sierpnia 2009 r. firma Trend Micro wykryła około 46 domen C&C botnetu Koobface.

Dla porównania, w przypadku botnetu Ilomo znaleziono 69 takich domen. Liczbę tę trudno jest jednak potwierdzić, ponieważ domeny są codziennie dodawane lub usuwane. Ze względu na strukturę tego botnetu trudno jest również określić dokładną liczbę zainfekowanych komputerów.

Trend Micro wykrywa zagrożenia i chroni komputery przed infekcją, wykorzystując system Smart Protection Network. Składa się on z trzech głównych obszarów - oceny reputacji poczty elektronicznej, adresów WWW i plików, które są połączone z bardziej tradycyjnymi rozwiązaniami chroniącymi punkty końcowe przed spamem i szkodliwym oprogramowaniem.