Botnet: l’alba dei morti viventi, connessi

botnet main

Tutto è connesso al giorno d’oggi. Tostapane, monitor per neonati e anche le macchinette del caffè sembrano aver una connessione ad internet. Anche I giocattoli per adulti, che ci rendono la vita più facile e divertente possono essere compromessi e resi accessibili dai criminali.

Immagina un bambino circondato da centinaia di giocattoli, tutti rubati da altri bambini. Ogni giocattolo ha il nome del proprietario scritto da qualche parte. Il suo proprietario probabilmente non si è neanche accorto che quel giocattolo è stato rubato e che viene utilizzato in un mondo brutto creato da questo bambino cattivo (il criminale informatico).

Quando il bullo ha il controllo di tutti I giocattoli, può farci quello che vuole. Una botnet è qualcosa di simile. Il botmaster (bambino cattivo) controlla tutti I dispositivi (giocattoli). Può utilizzarli per compiere atti illegali perchè sta usando il tuo giocattolo, e perciò lo farà in anonimato.

Le botnet sono utilizzate per campagne di spam e per effettuare attacchi mirati a determinati siti, al fine di farli crashare o per creare un danno finanziario (attacchi DDoS).

Potrebbe essere uno shock per te sapere che in questo momento il tuo computer potrebbe essere utilizzato per inviare spam, distribuire contenuto pedo pornografico o utilizzato per un attacco ai server di Twitter.

Alcuni dei tuoi dispositivi elettronici potrebbero far parte di una botnet.

Non temere. Ci sono chiari sintomi che indicano se il tuo computer è passato al lato oscuro di internet ed è diventato un giocattolo di un bambino cattivo.

In questo articolo ti spiegheremo cosa sono le botnet, come sono utilizzate dai criminali e come puoi fare per tenere lontano il tuo giocattolo dai bambini cattivi.

Iniziamo!

Cos’è una botnet?

Per spiegare tutto ciò, dobbiamo partire dal definire la botnet.

Un bot viene installato da una specie di trojan, un malware che si annida di nascosto nel tuo computer e aspetta le istruzioni da un centro di comando controllato da un criminale, conosciuto come botmaster o gestore della botnet. Le botnet possono effettuare numerose attività programmate dal gestore, come l’invio di email truffaldine o l’utilizzo di keylogger per collezionare i dettagli delle carte di credito. Tutto questo mentre i criminali sono dislocati in qualche posto sicuro nel mondo.

Una botnet utilizza il tuo computer assieme a centinaia di altri dispositivi, creando un’infinita potenza di calcolo. Invece di inviare 100 email spam da un singolo computer, possono inviare 10 email da 200,000 computer. La botnet può anche camuffare le sue attività ed effettuare altre azioni, come disabilitare il tuo anti-malware, senza che tu te ne accorga.

Essendo la botnet connessa ad internet, è in grado di infettare rapidamente centinaia di migliaia di computer senza fermare la sua attività criminosa.

Le botnet non sono sempre formate da computer. Ogni dispositivo connesso ad internet può essere infettato. Anche le telecamere di sicurezza possono essere utilizzate per questo scopo.

Un dispositivo infettato è un bot (robot). Un gruppo di questi bot forma una botnet (rete di robot).

Come funziona una botnet?

Come un’infezione di un malware comune, ci sono differenti step di una botnet, dall’inserirsi nel tuo sistema al comunicare con il botmaster fino all’eseguire le attività criminose. Riassumiamo brevemente di seguito:

  1. Infezione

Il botmaster invia i malware per infettare i computer. Questi malware possono infettarci tramite il download degli stessi, aprendo gli allegati di email sospette o cliccando su link nei social network. Il malware della botnet sfrutta delle vulnerabilità dei software, entra dalle porte aperte del computer, utilizza plug-in obsoleti o falle del sistema operativo non aggiornato. Metterà le radici nel tuo sistema.

  1. Connessione

Una volta nel tuo sistema, il malware utilizzerà internet per connettersi al server di controllo (C2). Il tuo computer rimarrà in fase di ascolto ed effettuerà controlli per eventuali istruzioni da parte del botmaster. L’impatto sul sistema è quasi nullo e perciò non ti accorgi di cosa sta succedendo.

  1. Controllo

La botnet rimane in una fase dormiente fino al momento della ricezione dei compiti da svolgere. Una volta che il botmaster ha deciso questi compiti, invia le istruzioni dal server di comando. A questo punto la botnet si “sveglia” ed inizia la sua attività criminosa, come l’invio di spam o attacchi DDoS.

  1. Moltiplicazione

Al tempo stesso, il bootmaster si focalizzerà sull’infettare ulteriori computer da aggiungere alla botnet. Questi computer sembreranno non far niente, ma possono contenere centinaia di migliaia di computer zombie senza destare sospetti.

Utilità di una botnet

Le botnet funzionano come un server proxy per le attività illegali. La diffusione delle attività illegali tra centinaia di migliaia di computer offre ai criminali una potenza infinita. Questa può essere utilizzata per:

    1. Truffe pubblicitarie. Centinaia di migliaia di computer possono effettuare dei click sulle pubblicità e quindi generare un profitto economico dai banner.
    2. Scaricare e distribuire materiale illegale come pedo-pornografia od in generale inviare spam. Le compagnie possono pagare tanto per vedere la propria pubblicità distribuita il più possibile. Prendere “in affitto” una botnet è una delle strade più facili per raggiungere questo scopo.
    3. Minare Bitcoin al fine di rendere qualcun altro ricco tramite la potenza dei computer e l’utilizzo di centinaia di migliaia di bot.
    4. Rubare i tuoi dati privati includendo password, informazioni della carta di credito ed altro, tramite l’utilizzo di keyloggers.
    5. Effettuare attacchi DDoS per sovraccaricare i server, come ad esempio quelli di Twitter o Spotify.
    6. Inviare email spam per ottenere i dettagli della carta di credito ed informazioni private delle vittime.
    7. Diffondere ransomware e nuove vittime tramite gli allegati email.
    8. Condurre truffe organizzate, con una bootnet organizzata si possono effettuare attacchi come se fosse da un’unica fonte.
    9. Attacchi di forza bruta a server aziendali al fine di ottenere l’accesso.

Potrai pensare che tutto ciò non ha niente a che fare con te. Non c’è nessuna correlazione che dice che il tuo computer è uno dei tanti.

Ma… lo sapevi che la botnet Zeus è formata da 3.6 milioni di computer nei soli Stati Uniti?

Il numero uguale all’1/4 della popolazione mondiale che accede a Facebook ogni mese, fonte primaria delle infezioni Zbot (Zeus) e di altri malware. E’ molto probabile che almeno uno dei tuoi dispositivi sia venuto in contatto con un computer controllato da questa botnet.

Ricordati che non affligge solo il tuo computer, ma tutti i dispositivi che possono accedere ad internet sono vulnerabili. Come quella volta che alcuni tostapane intelligenti, DVRs ed altri dispositivi connessi ad internet, hanno abbattuto diversi servizi, tra i quali Amazon, The New York Times e Netflix.

E’ pauroso pensare che per un nuovo utente inesperto bastino meno di 15 minuti per creare una botnet direttamente da casa sua. Immagina la potenza che potrebbe essere in mano di questi criminali, persino il tuo frigorifero potrebbe venir preso di mira da un attacco.

Questo affligge tutti noi. Se il tuo computer esegue attività illecite, l’ignoranza non è una scusa. Se l’attività illegale proviene dal tuo computer, tu sei il responsabile.

La potenza dei numeri: attacchi botnet famosi

Uno dei benefici degli attaccanti è che utilizzando una botnet possono nascondere la propria identità. Effettuare attacchi su larga scala, concede al botmaster un’anonimato non indifferente. Ecco alcuni esempi:

  1. Botnet Mirai

Il nome Mirai proviene dalla lingua giapponese e significa “futuro”. Tutto ciò si pensa che derivi da una serie anime chiamata Mirai Nikki.

Mirai funziona costantemente cercando gli indirizzi IP dei dispositivi Internet of Things (IoT). Mentre effettua questa scansione, individua le vulnerabilità dei gadget e cerca di entrarci. Una volta entrato, li infetta con il malware Mirai.

Come un bot nel tuo computer, Mirai opera sul tuo dispositivo senza comprometterne le performance.

La botnet Mirai è stata utilizzata per attacchi DDoS su larga scala negli ultimi anni:

Ogni nuovo attacco di Mirai diventa qualcosa che non è mai stato registrato perchè continua incessantemente ad aggiungere computer alla sua armata.

  1. Botnet Hajime

Ci sono tutte le informazioni necessarie per affermare che la botnet Hajime è stata creata per competere con Mirai.

Scoperta per la prima volta nell’ottobre 2016 da Rapidity Networks, Hajime tenta di aggregare tutti i dispositivi che può. L’unico obiettivo di Hajime è quello di neutralizzare i dispositivi prima che Mirai od altri similari se ne prendano il possesso.

Alcuni esperti di sicurezza considerano Hajime un’operazione white hat, affermando che mentre chiude delle porte per Mirai, ne apre altre per se stessa.

Hajime controlla già più di 300,000 dispositivi, la maggior parte DVR, router e videocamere connesse ad internet, ma non è utilizzata per nessun scopo malevolo. Le preoccupazioni derivano dal momento di una manomissione di questa botnet, le conseguenze sarebbero disastrose.

  1. Botnet Zeus/Zbot

Zeus si diffonde nello stesso modo di Mirai e lo sta facendo da anni ora mai. Il trojan in questo caso ruba le informazioni bancarie, funziona tramite un attacco keylogger man-in-the-browser, registrando tutte le tue attività comprese quelle bancarie ed i dettagli della carta di credito.

E’ anche utilizzato per ingannare gli utenti facendoli pensare che siano infetti da qualche virus e successivamente invaderli con popup truffaldini.

Dall’inizio della sua attività, Zeus ha compromesso Bank of America, NASA, ABC, Cisco ed Amazon. Prima di Mirai era la botnet più grande della specie, ma, al posto di effettuare attacchi DDoS, ha diffuso il ransomware CryptoLocker.

Sai che una volta infettato con un malware bot potresti rimanerlo per sempre?

Se l’impatto sul computer è così difficile da rilevare, come puoi sapere che un malware si è annidato nel sistema? Ci sono sintomi chiari.

Sintomi di infezione

Ci sono alcuni metodi per sapere se il tuo computer fa parte di un’armata zombie. Presta attenzione ai seguenti:

Il sistema si rallenta improvvisamente

Se il tuo dispositivo rallenta improvvisamente, potrebbe essere intento nell’esecuzione di azioni inviate dal criminale. Apri il Task Manager per verificare cosa sta succedendo. Se non trovi nessun processo che sta utilizzando in maniera vistosa le risorse del sistema, dovresti approfondire la questione. Controlla ciò che è in esecuzione in background e verifica di essere infetto.

Cambio inesplicabile del volume del sistema

Similarmente, controlla lo spazio del tuo hard disk. Hai perso spazio senza apparente motivo? Questo potrebbe avvenire perchè il tuo disco viene usato di nascosto.

Esegui questi procedimenti semplici per effettuare la verifica:

  1. Apri Esplora File. Puoi utilizzare la scorciatoia da tastiera tasto Windows + E o cliccando l’icona della cartella nella barra delle applicazioni.
  2. Clicca su Questo PC nella parte sinistra della schermata.
  3. Potrai controllare quanto spazio libero c’è sul tuo disco principale Windows (C:).

Screenshot storage spaceProblemi al browser o alle email

Il tuo browser crasha molto spesso senza motivo? Ricevi email di ritorno, senza aver inviato email? Questi sono sintomi di un utilizzo malintenzionato del tuo computer.

Metodi per prevenire l’infezione

Per prevenire una botnet basta utilizzare le tecniche per prevenire qualsiasi altro tipo di malware. Siccome è difficile la rimozione di un malware, è sempre meglio prevenire. Segui questi consigli per proteggerti:

Per il computer

  1. Aggiornare i software regolarmente è vitale. Assicurati che le tue applicazioni ed il tuo sistema operativo sia aggiornato e faccia parte delle pulizie di primavera.
  2. Pensa prima di cliccare. Non aprire gli allegati delle email da mittenti sconosciuti (o allegati da mittenti da cui non ti aspetti una email). Similmente, non cliccare sui link nelle email. Queste sono tecniche base utilizzate dai malviventi per truffarti e rubarti le informazioni.
  3. Utilizza un Anti-Malware di qualità per tenere alla larga le minacce zero day.

Per tutti i dispositivi connessi ad internet

  1. Non settare e dimenticarti. Molti prodotti che riceviamo hanno password di default. Tra questi troviamo router che possono essere utilizzati da estranei se non si utilizza una password unica.
  2. Chiudi l’accesso da remoto ai tuoi dispositivi, in questo modo non si possono effettuare degli accessi non autorizzati.
  3. Cerca un nuovo prodotto prima di collegarlo ad internet. Ci sono moltissime vulnerabilità che potrebbero essere a conoscenza della casa madre. Applica le patch per riparare queste falle prima di collegarli ad internet.

La potenza illimitata di una botnet offre ai criminali informatici infinite possibilità per truffare individui ed aziende. Queste sono le azioni semplici da intraprendere per mantenere il tuo sistema pulito. Assicurati che il tuo computer non stia facendo il lavoro sporco di qualche criminale. Innalza le difese oggi stesso!

Ti auguriamo una buona giornata, libera dai malware!