O que é Botnet?

Uma botnet (abreviação de “rede de robôs”) é uma rede de computadores infectados por malware que está sob o controle de uma única parte atacante, conhecida como “bot-herder”. Cada máquina individual sob o controle do bot-herder é conhecida como bot. A partir de um ponto central, a parte atacante pode comandar cada computador da sua botnet para executar simultaneamente uma ação criminosa coordenada. A escala de uma botnet (muitas compostas por milhões de bots) permite que o invasor execute ações em grande escala que antes eram impossíveis com malware. Como as botnets permanecem sob controle de um invasor remoto, às máquinas infectadas podem receber atualizações e alterar seu comportamento instantaneamente. Como resultado, os bot-herders conseguem frequentemente alugar o acesso a segmentos da sua botnet no mercado negro para obter ganhos financeiros significativos.

As ações comuns de botnet incluem:

• Spam de e-mail – embora o e-mail seja visto hoje como um vetor de ataque mais antigo, os botnets de spam são alguns dos maiores em tamanho. Eles são usados principalmente para enviar mensagens de spam, muitas vezes incluindo malware, em números elevados de cada bot. O botnet Cutwail, por exemplo, pode enviar até 74 bilhões de mensagens por dia. Eles também são usados para espalhar bots para recrutar mais computadores para a botnet.

• Ataques DDoS – aproveita a enorme escala do botnet para sobrecarregar uma rede ou servidor alvo com solicitações, tornando-o inacessível aos usuários pretendidos. Os ataques DDoS têm como alvo organizações por motivos pessoais ou políticos ou para extorquir pagamento em troca da cessação do ataque.

• Violação financeira – inclui botnets especificamente concebidos para o roubo direto de fundos de empresas e informações de cartão de crédito. As botnets financeiras, como a botnet ZeuS, têm sido responsáveis por ataques envolvendo milhões de dólares roubados diretamente de múltiplas empresas em períodos muito curtos de tempo.

• Intrusões direcionadas – botnets menores projetados para comprometer sistemas específicos de organizações de alto valor a partir dos quais os invasores podem penetrar e invadir ainda mais a rede. Estas intrusões são extremamente perigosas para as organizações, uma vez que os atacantes visam especificamente os seus activos mais valiosos, incluindo dados financeiros, investigação e desenvolvimento, propriedade intelectual e informações de clientes.

Botnets são criados quando o criador de bots envia o bot de seus servidores de comando e controle para um destinatário desconhecido usando compartilhamento de arquivos, e-mail ou protocolos de aplicativos de mídia social ou outros bots como intermediários. Assim que o destinatário abre o arquivo malicioso em seu computador, o bot reporta ao comando e controle, onde o pastor do bot pode ditar comandos aos computadores infectados. Abaixo está um diagrama que ilustra essas relações:

Uma série de características funcionais exclusivas de bots e botnets os tornam adequados para invasões de longo prazo. Os bots podem ser atualizados pelo bot-herder para alterar toda a sua funcionalidade com base no que ele gostaria que eles fizessem e para se adaptar às mudanças e contramedidas do sistema alvo. Os bots também podem utilizar outros computadores infectados na botnet como canais de comunicação, fornecendo ao bot-herder um número quase infinito de caminhos de comunicação para se adaptar às mudanças nas opções e fornecer atualizações. Isto destaca que a infecção é o passo mais importante, porque a funcionalidade e os métodos de comunicação podem sempre ser alterados posteriormente, conforme necessário.

Sendo um dos tipos mais sofisticados de malware moderno, as botnets são uma imensa preocupação de segurança cibernética para governos, empresas e indivíduos. Enquanto o malware anterior era um enxame de agentes independentes que simplesmente se infectavam e se replicavam, os botnets são aplicativos em rede coordenados centralmente que aproveitam as redes para ganhar poder e resiliência. Como os computadores infectados estão sob o controle do pastor de bots remoto, um botnet é como ter um hacker mal-intencionado dentro de sua rede, em vez de apenas um programa executável mal-intencionado.

Como a GoCache pode ajudar?

A GoCache possui uma solução de Bot Mitigation que identifica, classifica e bloqueia diferentes tipos de bots e comportamentos automatizados.

Referencias: 

• https://www.techtarget.com/searchsecurity/definition/botnet
• https://usa.kaspersky.com/resource-center/threats/botnet-attacks