Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Ekonomia botnetu

Tagi:

Jurij Namiestnikow
Analityk wirusów, Kaspersky Lab

W ciągu ostatnich dziesięciu lat botnety ewoluowały z niewielkich sieci składających się z kilkunastu komputerów PC kontrolowanych z jednego centrum C&C (command and control) do złożonych, rozproszonych systemów, które obejmują miliony komputerów i charakteryzują się zdecentralizowaną kontrolą. Jaki jest cel tworzenia takich gigantycznych sieci zombie? Odpowiedź na to pytanie można zawrzeć w jednym słowie: pieniądze.

Botnet lub sieć zombie to sieć komputerów zainfekowanych szkodliwym programem, która pozwala cyberprzestępcom zdalnie kontrolować zarażone maszyny bez wiedzy ich użytkowników. Takie sieci zombie stały się źródłem dochodów dla całych grup cyberprzestępczych. Niezmiennie niski koszt utrzymania botnetu i coraz mniej wiedzy wymaganej do zarządzania takim botnetem przyczyniają się do wzrostu popularności, a w konsekwencji, liczby botnetów.

Jak powstaje botnet? Co musi zrobić cyberprzestępca, który potrzebuje botnetu? Istnieje wiele możliwości, w zależności od umiejętności przestępcy. Niestety, ci, którzy postanowili stworzyć botnet od zera, nie będą mieli żadnych problemów ze znalezieniem wskazówek w Internecie.

Cyberprzestępca może stworzyć nową sieć zombie. W tym celu musi zainfekować maszyny użytkowników specjalnym programem o nazwie bot. Boty to szkodliwe programy, które łączą komputery w botnety. Jeżeli osoba, która chce rozpocząć "biznes", nie posiada żadnych umiejętności programistycznych, na forach internetowych może znaleźć mnóstwo ofert "botów na sprzedaż". Tą samą drogą można zamówić zaciemnianie (zaciemnianie polega na ukryciu kodu źródłowego programu w celu utrudnienia wykrywania przez programy antywirusowe) oraz szyfrowanie kodu tych programów, aby zapewnić ochronę botom przed wykryciem ich przez narzędzia bezpieczeństwa. Inną możliwością jest kradzież istniejącego botnetu.

Kolejnym krokiem, jaki musi wykonać cyberprzestępca, jest zainfekowanie maszyn użytkownika botem. W tym celu wykorzystuje jedną z następującym metod: wysyła spam, umieszcza wiadomości na forach i w portalach społecznościowych lub przeprowadza atak drive-by download. Ewentualnie, bot może zawierać funkcję samodzielnego rozmnażania się, taką jak wirusy i robaki.

Podczas zamawiania wysyłek spamowych lub zamieszczania wiadomości na forach i portalach społecznościowych, w celu nakłonienia potencjalnych ofiar do zainstalowania bota, cyberprzestępcy wykorzystują różne chwyty socjotechniczne. Na przykład, oferują użytkownikowi obejrzenie interesującego filmu wideo, pod warunkiem że pobiorą specjalny kodek. Naturalnie, osoba, która pobierze i uruchomi plik, nie obejrzy żadnego filmu. Użytkownik prawdopodobnie nie zauważy żadnych zmian, jednak komputer zostanie zainfekowany. W rezultacie, komputer stanie się posłusznym sługą właściciela botnetu.

Inna, powszechnie stosowna metoda polega na ukradkowym pobieraniu szkodliwego oprogramowania z wykorzystaniem ataków drive-by-download. Metoda ta opiera się na wykorzystywaniu różnych luk w zabezpieczeniach aplikacji, w szczególności w popularnych przeglądarkach, poprzez które na komputer pobierane jest szkodliwe oprogramowanie w wyniku odwiedzenia przez użytkownika zainfekowanej strony internetowej. Służą do tego specjalne programy zwane exploitami, które wykorzystują luki w zabezpieczeniach nie tylko do ukradkowego pobrania szkodliwego oprogramowania, ale również uruchomienia go bez wiedzy użytkownika. Jeżeli atak powiedzie się, użytkownik nawet nie będzie podejrzewał, że z jego komputerem coś jest nie tak. Ta metoda rozprzestrzeniania szkodliwego oprogramowania jest szczególnie niebezpieczna, ponieważ zainfekowanie jednego popularnego zasobu sieciowego może spowodować zarażenie dziesiątek tysięcy komputerów.

ynam_botnets_0906_pic01s.png 
Rysunek 1: Przynęta na użytkowników (fałszywy post na Youtube)

Bot może zawierać funkcję samodzielnego rozprzestrzeniania się w sieciach komputerowych, np. poprzez infekowanie wszystkich plików wykonywalnych, do których może uzyskać dostęp, lub poprzez skanowanie sieci w poszukiwaniu komputerów podatnych na ataki i infekowanie ich. Przykładami takich botów są rodziny Virus.Win32.Virut oraz Net-Worm.Win32.Kido. Pierwszy z nich jest infektorem plików polimorficznych, drugi - robakiem sieciowym. Nie należy lekceważyć skuteczności takiego podejścia: sieć zombie stworzona przez robaka Kido należy dzisiaj do największych na świecie.

Właściciel botnetu może kontrolować zainfekowane komputery niczego niepodejrzewających osób poprzez centrum C&C, łączenie się z botami za pośrednictwem kanału IRC, połączenie sieciowe lub inne dostępne kanały. Aby botnet zarabiał na swojego właściciela, wystarczy połączyć w sieć kilkadziesiąt maszyn. Dochody są uzależnione od stabilności sieci zombie i współczynnika wzrostu.

W jaki sposób właściciele botnetów zarabiają pieniądze

W jaki sposób właściciele botnetów zarabiają pieniądze przy pomocy zainfekowanych komputerów? Jest kilka głównych źródeł dochodów: ataki DDoS, kradzież poufnych informacji, spam, phishing, spam SEO, oszukańcze kliknięcia oraz rozprzestrzenianie szkodliwych programów oraz programów adware. Należy zauważyć, że każde z tych źródeł z osobna może zapewnić cyberprzestępcy spore dochody. Ale dlaczego cyberprzestępcy mieliby ograniczać się do jednego źródła dochodów? Przy pomocy botnetu można wykonywać wszystkie te działania ... jednocześnie!

ynam_botnets_0906_pic02s.png 
Rysunek 2: “Biznes botnetowy"

Ataki DDoS

Wielu analityków uważa, że nawet najwcześniejsze botnety posiadały funkcjonalność DDoS. DDoS to atak, którego celem jest zmuszenie systemu do odmowy obsługi, tj. spowodowania sytuacji, gdy system nie otrzymuje i nie przetwarza żądań od legalnych użytkowników. Jedna z najpowszechniejszych metod przeprowadzania tego ataku polega na wysyłaniu ogromnej ilości żądań do komputera ofiary, co może spowodować odmowę obsługi, jeżeli atakowany komputer posiada niewystarczające zasoby do przetwarzania wszystkich przychodzących żądań. Ataki DDoS stanowią potężną broń w rękach hakerów, a botnety są idealnym narzędziem do przeprowadzania takich ataków. Ataki DDoS mogą być wykorzystywane jako narzędzie nieuczciwej konkurencji lub być przejawem cyberterroryzmu.

Właściciel botnetu może świadczyć usługi każdemu pozbawionemu skrupułów przedsiębiorcy, organizując atak DDoS na stronę internetową jego konkurencji. Strona konkurencji zostanie zdjęta z powodu obciążenia spowodowanego atakiem, a cyberprzestępca otrzyma skromne (lub wcale nie takie skromne) wynagrodzenie. Właściciele botnetów mogą również sami wykorzystywać ataki DDoS, aby wyłudzać pieniądze od większych firm. Firmy często wolą spełnić żądania cyberprzestępców, ponieważ usunięcie konsekwencji skutecznych ataków DDoS może ich kosztować znacznie więcej. W styczniu 2009 roku atak przeprowadzony na godaddy.com, dużego dostawcę hostingu internetowego, spowodował, że kilka tysięcy stron internetowych utrzymywanych na serwerach sieciowych tej firmy było niedostępnych przez prawie 24 godziny. Co to było? Nieuczciwe posunięcie innego popularnego dostawcy hostingu, czy raczej Go Daddy padł ofiarą szantażu? Według nas, oba scenariusze są prawdopodobne. Ten sam dostawca hostingu padł ofiarą podobnego ataku w listopadzie 2005 roku, wtedy jednak serwis był niedostępny tylko przez godzinę. Nowy atak był znacznie potężniejszy, głównie na skutek wzrostu liczebności botnetów.

W lutym 2007 roku przeprowadzono serię ataków na główne serwery nazw, od których zależy normalne działanie całego Internetu. Jest mało prawdopodobne, żeby celem tych ataków było "zabicie" Internetu, ponieważ sieci zombie nie mogą działać bez Internetu. Prawdopodobnie była to demonstracja siły i możliwości sieci zombie.

Jawne oferty przeprowadzenia ataków DDoS pojawiają się na wielu forach tematycznych. Ceny wahają się od 50 dolarów do kilku tysięcy dolarów za 24-godzinne, ciągłe działanie botnetu przeprowadzającego atak DDoS. Ta rozpiętość cenowa jest uzasadniona. Aby wstrzymać sprzedaż w niewielkim, niezabezpieczonym sklepie internetowym na jeden dzień, wystarczy użyć stosunkowo niewielki botnet (składający się z około tysiąca komputerów), co dla cyberprzestępcy nie będzie oznaczało zbyt wielkich kosztów. Jeżeli jednak konkurencja jest dużą międzynarodową firmą posiadającą dobrze zabezpieczoną stronę internetową, cena będzie znacznie wyższa, ponieważ skuteczny atak DDoS będzie wymagał znacznie większej liczby komputerów zombie.

Według shadowserver.org, w 2008 roku przeprowadzono około 190 tysięcy ataków DDoS, które przyniosły cyberprzestępcom zyski w wysokości około 20 milionów dolarów. Naturalnie, szacunki te nie uwzględniają dochodów z szantażu, które nie są możliwe do oszacowania.

Kradzież poufnych informacji

Poufne informacje przechowywane na komputerach użytkowników zawsze będą atrakcyjnym celem dla cyberprzestępców. Najcenniejsze z takich danych obejmują numery kart kredytowych, informacje finansowe oraz hasła do różnych serwisów, takich jak poczta elektroniczna, ftp, komunikatory internetowe itd. Dzisiejsze szkodliwe oprogramowanie pozwala cyberprzestępcom wybrać dane, które chcą ukraść, poprzez zainstalowanie odpowiedniego modułu na zainfekowanym komputerze.

Cyberprzestępcy mogą sprzedawać skradzione informacje lub wykorzystywać je dla własnych korzyści. Każdego dnia na forach podziemia internetowego pojawiają się setki nowych ofert sprzedaży kont bankowych. Cena jednego konta waha się od 1 dolara do 1 500. Najniższa minimalna cena świadczy o tym, że cyberprzestępcy działający w tym biznesie muszą obniżać ceny ze względu na konkurencję. Aby zarobić większą sumę, muszą mieć stały dopływ świeżych danych, który zapewnia im przede wszystkim stały wzrost liczebności sieci zombie.

Carderzy, tj. osoby, które fałszują karty bankowe, są szczególnie zainteresowani informacjami finansowymi. O tym, jak dochodowa może być działalność carderów, świadczy historia brazylijskiej grupy cyberprzestępczej, która została aresztowana dwa lata temu. Przy użyciu informacji skradzionych z komputerów szajka ta zdołała wydobyć z kont bankowych 4,74 milionów dolarów.

Z kolei danymi osobistymi, które nie są bezpośrednio związane z finansami użytkowników, interesują się cyberprzestępcy, którzy fałszują dokumenty, zakładają fałszywe konta bankowe, przeprowadzają nielegalne transakcje itd.

Koszt skradzionych danych zależy od państwa, w którym mieszka ich prawowity właściciel. Na przykład, komplet danych osobowych mieszkańca Stanów Zjednoczonych może kosztować od 5 do 8 dolarów. Dużą wartość na czarnym rynku mają dane osobowe mieszkańców Unii Europejskiej - dwu lub trzykrotnie wyższą niż dane mieszkańców Stanów Zjednoczonych lub Kanady. Wynika to z tego, że cyberprzestępcy mogą wykorzystywać te dane w każdym państwie Unii Europejskiej. Przeciętny koszt pełnego pakietu danych dotyczących jednej osoby wynosi około 7 dolarów.

Innym rodzajem informacji uzyskiwanych przy użyciu botnetów są adresy e-mail. W przeciwieństwie do numerów kart kredytowych i kont bankowych, na jednym zainfekowanym komputerze można zebrać sporą liczbę adresów e-mail. Takie adresy są następnie sprzedawane - czasami “hurtowo", na megabajty. Głównymi klientami są naturalnie spamerzy. Jedna lista obejmująca milion adresów e-mail kosztuje od 20 do 100 dolarów, podczas gdy za wysłanie spamu do tego miliona adresów spamerzy liczą sobie od 150 do 200 dolarów - co daje im ogromny zysk.

Przestępcy są również zainteresowani kontami użytkowników na różnych płatnych serwisach i sklepach internetowych. Są one z pewnością tańsze niż konta bankowe, jednak ich sprzedaż wiąże się z mniejszym ryzykiem zwrócenia uwagi organów ścigania. Na przykład, konta w popularnym sklepie internetowym Steam z dostępem do dziesięciu gier są sprzedawane za 7 do 15 dolarów za konto.

ynam_botnets_0906_pic03s.png 
Rysunek 3: Wpis na forum o ofercie sprzedaży kont w sklepie Steam

Phishing

Nowe strony phishingowe powstają masowo, potrzebują jednak zabezpieczenia przed zamknięciem. Sieci zombie obligatoryjnie posiadają implementację technologii fast flux, która pozwala cyberprzestępcom zmieniać adresy IP stron internetowych co kilka minut bez zmiany nazwy domeny. Pozwala to przedłużyć długość życia stron phishingowych poprzez utrudnienie ich wykrycia i zdjęcia. Cała koncepcja opiera się na wykorzystywaniu komputerów domowych stanowiących część botnetu jako serwerów sieciowych z "zawartością phishingową". Pod względem ukrywania fałszywych stron internetowych w Sieci fast flux jest skuteczniejszą metodą niż serwery proxy.

Rock Phish, znana grupa phishingowa, współpracuje z Asprox, operatorem botnetu. W połowie zeszłego roku 'Rock Phishers', którzy stoją za połową ataków phishingowych i spowodowali milionowe straty poniesione przez osoby korzystające z usług bankowości online, wzbogacili swoją infrastrukturę o funkcjonalność fast-flux. Zajęło im to około pięciu miesięcy i zostało wykonane bardzo profesjonalnie. Zamiast tworzyć swoją własną sieć fast flux, phisherzy nabyli gotowe rozwiązanie od posiadaczy botnetu Asprox.

Za hosting serwisów fast flux cyberprzestępcy, w większości phisherzy, płacą właścicielom botnetów od 1 000 do 2 000 dolarów miesięcznie.

Średni dochód z phishingu jest porównywalny do zysków z kradzieży poufnych danych przy użyciu szkodliwego oprogramowania i wynosi miliony dolarów rocznie.

Spam

Codziennie na całym świecie wysyłane są miliony wiadomości spamowych. Wysyłanie niechcianej poczty to główne zadanie dzisiejszych bonetów. Według danych firmy Kaspersky Lab, około 80% spamu jest wysyłane za pośrednictwem sieci zombie.

Z komputerów praworządnych obywateli wysyłane są miliardy reklam Viagry, podróbek zegarków, kasyn online itd. Wiadomości te zapychają kanały komunikacyjne i skrzynki pocztowe. W ten sposób hakerzy psują reputację niewinnych użytkowników: adresy nadawców, z których pochodzi spam, są umieszczane przez firmy antywirusowe na czarnych listach.

W ciągu ostatnich lat rozszerzył się zakres usług spamowych, obejmując spam ICQ, spam na portalach społecznościowych, forach i blogach. Jest to również "zasługa" właścicieli botnetów: nie trzeba dużo wysiłku, aby dodać nowy moduł do klienta bota, otwierając możliwości na nowy biznes z pomocą takich sloganów, jak "Spam na Facebooku. Tanio."

Ceny spamu różnią się w zależności od odbiorców i liczby adresów. Cena wysyłki może wahać się od 70 dolarów za kilka tysięcy adresów do 1 000 dolarów za dziesiątki milionów adresów.

W zeszłym roku spamerzy zarobili na wysyłaniu wiadomości około 780 000 000 dolarów. Imponujący wynik jak na reklamę, której nikt nie chce?

Spam w wyszukiwarkach

Kolejnym zastosowaniem botnetów jest optymalizacja dla wyszukiwarek internetowych (SEO, ang. search engine optimization). Webmasterzy wykorzystują SEO w celu poprawy pozycji swoich stron internetowych w wynikach wyszukiwania, ponieważ im wyższa będzie pozycja danej strony, tym więcej osób odwiedzi ją za pośrednictwem wyszukiwarek.

Podczas oceny odpowiedniości strony wyszukiwarki wykorzystują szereg różnych kryteriów. Jednym z głównych parametrów jest liczba odsyłaczy do strony, jakie znajdują się na innych portalach lub domenach. Im więcej takich odsyłaczy zostanie znalezionych, tym wyżej robot wyszukiwarki oceni stronę. Na pozycjonowanie stron mają również wpływ słowa zawarte w odsyłaczu. Na przykład odsyłacz “kup nasze komputery" będzie miał większą wagę dla takich wyszukiwań, niż "kup komputer".

SEO stanowi dobrze prosperujący biznes. Wiele firm słono płaci swoim webmasterom, aby wysoko wypozycjonowali ich strony w wynikach wyszukiwania. Operatorzy botnetów zapożyczyli sobie niektóre z ich technik i zautomatyzowali proces optymalizacji dla wyszukiwarek internetowych.

Dlatego nie zdziw się, gdy odkryjesz większą liczbę odsyłaczy stworzonych przez zupełnie nieznaną Ci osobę w komentarzach do Twojego bloga. To oznacza, że ktoś wynajął właścicieli botnetu, aby wypromowali dany zasób sieciowy. Na komputerze zombie został zainstalowany specjalny program, który zostawia komentarze zawierające odsyłacze do strony promowanej na popularnych zasobach.

Średnia cena nielegalnego spamu SEO wynosi około 300 dolarów miesięcznie.

Instalacja szkodliwego oprogramowania i oprogramowania adware

Wyobraź sobie, że czytasz swój ulubiony magazyn motoryzacyjny online i nagle pojawia się okno wyskakujące z ofertą zakupu oryginalnych akcesoriów samochodowych. Wydawałoby się, że nie ma w tym nic złego, ale Ty jesteś całkowicie pewny, że nie instalowałeś żadnego oprogramowania wyszukującego przydatne (lub nieprzydatne) przedmioty. Jednak sprawa jest prosta: właściciele botnetu “zaopiekowali się" Tobą.

Wiele firm, które oferują reklamy online, płaci za każde zainstalowanie swojego oprogramowania. Zwykle nie są to duże pieniądze - od 30 centów do 1,50 dolarów za każdy zainstalowany program. Jeżeli jednak cyberprzestępca ma do swojej dyspozycji botnet, kilkoma kliknięciami może zainstalować dowolne oprogramowanie na tysiącach komputerów, zarabiając na tym spore pieniądze. J. K. Shiefer, znany cyberprzestępca, który został skazany w 2007 roku, “zarobił" ponad 14 000 dolarów w ciągu jednego miesiąca, wykorzystując botnet składający się z ponad 250 000 maszyn do zainstalowania oprogramowania adware na 10 000 komputerów.

Cyberprzestępcy, którzy rozprzestrzeniają szkodliwe programy, często stosują to samo podejście, płacąc za każdą instalację swojego oprogramowania. Ten rodzaj współpracy między cyberprzestępcami nosi nazwę partnerstwa. Stawki za instalację oprogramowania na komputerach użytkowników z różnych państw są bardzo zróżnicowane. Na przykład, średnia cena zainstalowania szkodliwego programu na tysiącach komputerów wynosi 3 dolary w Chinach, natomiast w Stanach Zjednoczonych 120 dolarów. Taka rozpiętość stawek jest całkiem zrozumiała, ponieważ komputery użytkowników w krajach rozwiniętych mogą dostarczyć cyberprzestępcom znacznie cenniejsze informacje, przy pomocy których mogą zarobić znacznie więcej pieniędzy.

Oszukańcze kliknięcia

Agencje reklamy online, które stosują system PPC (Pay-Per-Click), płacą za unikatowe kliknięcia reklam. Właściciele botnetów mogą zarobić sporą fortunę na oszukiwaniu takich firm.

Przykładem jest dobrze znana sieć Google AdSense. Reklamodawcy płacą Google za kliknięcia takich reklam w nadziei, że użytkownicy, którzy odwiedzą w ten sposób ich strony, dokonają zakupu.

Z kolei Google umieszcza reklamy kontekstowe na różnych stronach internetowych biorących udział w programie AdSense, płacąc właścicielom stron internetowych odsetek od każdego kliknięcia. Niestety, nie wszyscy właściciele stron internetowych są uczciwi. Przy pomocy sieci zombie haker może wygenerować w ciągu jednego dnia tysiące unikatowych kliknięć - każde z innej maszyny, aby nie wzbudzić podejrzeń Google. W ten sposób pieniądze wydane na kampanie reklamowe trafiają do kieszeni hakera. Niestety, do tej pory nikt nie został skazany za ten rodzaj oszustwa.

Według Click Forensics, w 2008 roku około 16-17% wszystkich kliknięć odsyłaczy do reklam było “oszukanych", z czego jedna trzecia została wygenerowana przez botnety. Z prostej kalkulacji wynika, że właściciele botnetu zarobili “na kliknięciach" 33 miliony dolarów. Całkiem nieźle, biorąc pod uwagę fakt, że cała praca polegała na klikaniu myszką!

Wydzierżawianie i sprzedaż botnetów

Wróćmy teraz do zapracowanych właścicieli botnetów. Dla nich znana zasada Karola Marksa “towary - pieniądze - towary" mogłaby brzmieć: “botnet - pieniądze - botnet". Utrzymanie botnetu, zapewnienie stałego dopływu nowych komputerów zombie, ochrona botów przed wykryciem przez produkty antywirusowe oraz uniemożliwienie zlokalizowania centrum C&C wymaga od hakerów zainwestowania zarówno pieniędzy jak i czasu, dlatego nie mają już czasu na wysyłanie spamu, instalowanie oprogramowania czy kradzież i sprzedaż informacji. O wiele łatwiej jest wydzierżawić botnet lub sprzedać go, zwłaszcza że nie brakuje osób, które chętnie go kupią.

Wydzierżawienie botnetu pocztowego, który w ciągu minuty może wysłać około 1 000 wiadomości , przynosi około 2 000 dolarów miesięcznie. Cena “gotowego" botnetu zależy od liczby zainfekowanych komputerów. Gotowe botnety są szczególnie popularne na anglojęzycznych forach. Niewielkie botnety składające się z kilkuset botów kosztują od 200 do 700 dolarów, średnio około pół dolara za jeden bot. Za duże botnety trzeba zapłacić o wiele więcej. Botnet Shadow, który został stworzony przez 19-letniego hakera z Holandii i liczył ponad 100 000 komputerów, został wystawiony na sprzedaż za 36 000 dolarów. Za taką sumę można kupić niewielki dom w Hiszpanii, jednak brazylijski cyberprzestępca wolał zainwestować w botnet.

Podsumowanie

Do kieszeni osób działających w biznesie botnetowym trafiają bajońskie sumy. Do zwalczania tego biznesu wykorzystywane są różne metody, jednak na poziomie legislacyjnym są one całkowicie nieskuteczne. Ustawy dotyczące spamu oraz rozwoju i rozprzestrzeniania szkodliwych programów lub włamań do sieci komputerowych nie są egzekwowane w wielu państwach, nawet jeżeli istnieją. Właścicieli lub twórców botnetów, którzy zostali skazani za swoją działalność, można policzyć na palcach dwóch rąk. Za to liczba botnetów, które nadal są aktywne w Internecie, przekroczyła 3 600. W rzeczywistości, zliczenie działających botnetów nie jest łatwym zadaniem, ponieważ oprócz kilkudziesięciu dużych botnetów, których trudno nie zauważyć, istnieje spora liczba mniejszych sieci zombie, które nie są łatwe do wykrycia i wyizolowania.

Wygląda na to, że w obecnej sytuacji najskuteczniejszą metodą zwalczania botnetów jest połączenie wysiłków ekspertów ds. zwalczania wirusów, dostawców usług internetowych oraz organów ścigania. Dzięki takiej współpracy udało się już zamknąć trzy firmy: EstDomains, Atrivo oraz McColo. Zamknięcie McColo, na którego serwerach znajdowały się centra kontroli kilku największych botnetów spamowych, spowodowało zmniejszenie ilości spamu krążącego w Internecie o 50%.

Eksperci śledzą aktywność tysięcy botnetów, produkty antywirusowe wykrywają i niszczą boty na całym świecie, ale tylko organy ścigania mogą zablokować centra kontroli i schwytać cyberprzestępców, a tym samym “wyłączyć" botnety na dłuższy czas. Zamknięcie McColo dało krótkotrwały efekt: kilka tygodni później ruch spamowy zaczął powracać do poprzedniego poziomu. Po tym, jak właściciele botnetów przenieśli swoje centra kontroli do innych dostawców hostingu, nic nie stało im na przeszkodzie, aby kontynuowali swoją działalność. Potrzeba zatem konsekwentnych działań, a nie tylko sporadycznych kontroli. Niestety, odcięcie jednej głowy hydry nie wystarczy!

Bez pomocy użytkowników nie jest możliwe zwycięstwo w walce z botnetami. Lwią część potężnej armii botów stanowią użytkownicy komputerów domowych. Niestosowanie się do prostych zasad bezpieczeństwa, takich jak wykorzystywanie oprogramowania antywirusowego, wykorzystywanie mocnych haseł do kont oraz wyłączenia funkcji automatycznego odtwarzania nośników przenośnych, może spowodować, że Twój komputer zasili botnet, dostarczając cyberprzestępcom Twoje dane i zasoby. Dlaczego miałbyś pomagać cyberprzestępcom?

Źródło:
Kaspersky Lab