Szkodliwa działalność botnetów – jak było w pierwszym kwartale?

Klaudia Ciesielska
4 min

Badacze z Kaspersky Lab opublikowali raport dotyczący aktywności sieci zainfekowanych urządzeń (tzw. botnetów) w pierwszej połowie 2018 r. Przeanalizowano ponad 150 rodzin szkodliwych programów oraz ich modyfikacji rozprzestrzenianych za pośrednictwem 600 000 botnetów na całym świecie. Jednym z najistotniejszych ustaleń badania był rosnący popyt na świecie na wielozadaniowe szkodliwe oprogramowanie, które nie zostało przygotowane z myślą o konkretnych zastosowaniach, a zamiast tego jest wystarczająco elastyczne, żeby wykonać niemal dowolne zadanie.

Botnety – sieci zhakowanych urządzeń wykorzystywanych do aktywności przestępczej – są stosowane przez przestępców do rozprzestrzeniania szkodliwego oprogramowania i wspomagania ataków DDoS oraz masowych wysyłek spamowych. Przy użyciu autorskiej technologii śledzenia botnetów (Botnet Tracking) badacze z Kaspersky Lab nieustannie monitorują aktywność cyberprzestępców, aby zapobiec ewentualnym atakom lub zdusić w zarodku rozprzestrzenianie nowych szkodliwych programów. Działanie tej technologii polega na emulowaniu zhakowanego urządzenia i zastawiania pułapek na polecenia wysyłane przez cyberprzestępców, którzy wykorzystują botnety w celu rozprzestrzeniania szkodliwego oprogramowania. W ten sposób badacze uzyskują cenne próbki szkodliwego oprogramowania oraz dane statystyczne.

Na podstawie wyników przeprowadzonego niedawno badania można stwierdzić, że w pierwszej połowie 2018 r. udział szkodliwego oprogramowania tworzonego w jednym, określonym celu i rozprzestrzenianego za pośrednictwem botnetów zmniejszył się znacząco w porównaniu z drugą połową 2017 r. Na przykład w drugiej połowie 2017 r. 22,46 proc. wszystkich unikatowych plików szkodliwego oprogramowania rozprzestrzenianych za pośrednictwem botnetów monitorowanych przez Kaspersky Lab stanowiły trojany bankowe, podczas gdy w pierwszej połowie 2018 r. ich udział zmniejszył się o 9,21 punktów proc. – do 13,25 proc. wszystkich plików szkodliwego oprogramowania wykrytych przez technologię Botnet Tracking.

Znacząco zmniejszył się również — z 18,93 proc. w drugim kwartale 2017 r. do 12,23 proc. w pierwszym kwartale 2018 r. — udział botów spamowych, które także stanowią rodzaj jednozadaniowego szkodliwego oprogramowania rozprzestrzenianego za pośrednictwem botnetów. Podobnie było w przypadku botów DDoS, które odnotowały spadek z 2,66 proc. w drugiej połowie 2017 do 1,99 proc. w pierwszej połowie 2018 r.

REKLAMA

Jednocześnie najwyraźniejszy wzrost wykazało wielozadaniowe szkodliwe oprogramowanie. W szczególności szkodliwe oprogramowanie z kategorii narzędzi zdalnego dostępu (ang. Remote Administration Tool — RAT), które zapewniają niemal nieograniczone możliwości wykorzystywania zainfekowanych komputerów PC. Od pierwszej połowy 2017 r. udział plików RAT identyfikowanych wśród szkodliwego oprogramowania rozprzestrzenianego za pośrednictwem botnetów wzrósł niemal dwukrotnie (z 6,55 proc. do 12,22 proc.). Njrat, DarkComet oraz Nanocore znalazły się na szczycie listy najbardziej rozpowszechnionych narzędzi RAT. Ze względu na stosunkowo prostą strukturę te trzy „tylne furtki”, lub inaczej backdoory, mogą zostać zmodyfikowane nawet przez cyberprzestępców nieposiadających zaawansowanej wiedzy technicznej. W ten sposób szkodnik może być dostosowywany do dystrybucji w określonym regionie.

Trojany, które również są wykorzystywane do wielu celów, nie wykazały tak dużego wzrostu jak narzędzia RAT, ale w przeciwieństwie do wielu jednozadaniowych szkodliwych programów udział wykrytych trojanów wzrósł z 32,89 proc. w drugiej połowie 2017 r. do 34,25 proc. w pierwszej połowie 2018 r. Tak jak w przypadku backdoorów, jedna rodzina trojanów może być modyfikowana i kontrolowana przez wiele różnych serwerów kontroli, z których każdy służy innemu celowi, np. cyberszpiegostwu lub kradzieży danych uwierzytelniających.

Jedynym rodzajem jednozadaniowych szkodliwych programów, które wykazały imponujący wzrost, jeśli chodzi o programy rozprzestrzeniane za pośrednictwem botnetów, były koparki kryptowalut, które odnotowały dwukrotny wzrost, co wpisuje się w ogólny trend wzrostu liczby szkodliwych programów do wydobywania kryptowaluty, który eksperci  zaobserwowali wcześniej tego roku.