Semalt: botnet e come funzionano

Frank Abagnale, Semalt Customer Success Manager, spiega che una botnet è una serie di computer infetti da malware che formano una rete che un utente può controllare in remoto. Sono chiamati "robot" poiché sono sotto l'influenza diretta della persona che li infetta. Le botnet variano di dimensioni, ma più è grande, più diventa efficiente.

Le botnet in dettaglio

Se sei sicuro che il computer che usi fa parte di una botnet, è molto probabile che sia stato "reclutato" dopo essere stato infettato da malware. Dopo aver installato se stesso nel sistema, contatta il server remoto o qualsiasi robot vicino all'interno della stessa rete. Quello che controlla la botnet quindi invia le istruzioni su cosa dovrebbero fare i robot.

In sostanza, quando si dice che un computer fa parte di una botnet, significa che qualcuno ha il controllo remoto su di esso. Diventa sensibile ad altri tipi di malware come keylogger, che raccolgono informazioni e attività finanziarie e le ritrasmettono al server remoto. Gli sviluppatori di Botnet decidono cosa farne. Possono bloccare le sue funzioni, far scaricare altre botnet o assistere altri nell'implementazione di attività. Alcune vulnerabilità nel computer come software obsoleti, plug-in per browser Java non sicuri o download di software piratato, sono facili punti target per gli attacchi botnet.

Scopo Botnet

La maggior parte del malware creato in questi giorni è generalmente a scopo di lucro. Pertanto, alcuni dei creatori di botnet vogliono solo accumulare quanti più bot possibile per affittare al miglior offerente. In effetti, possono essere utilizzati in molti modi diversi.

Uno di questi è gli attacchi distribuiti denial of service (DDoS). Centinaia di computer inviano richieste a un sito Web contemporaneamente con l'intenzione di sovraccaricarlo. Di conseguenza, il sito Web si arresta in modo anomalo e diventa non disponibile o irraggiungibile dalle persone che ne hanno bisogno.

Le botnet hanno una certa potenza di elaborazione che può essere utilizzata per inviare e-mail di spam. Inoltre, può caricare siti Web in background e inviare clic falsi a un sito che il controller desidera pubblicizzare e migliorare sulla sua campagna SEO. È anche efficiente nel mining di Bitcoin, che possono successivamente vendere in contanti.

Inoltre, gli hacker possono utilizzare le botnet per distribuire malware. Una volta ottenuto l'accesso al computer, scarica e installa altri malware come keylogger, adware o ransomware.

Come possono essere controllate le botnet

Il modo più semplice per gestire una botnet è se ciascuno dei singoli computer comunica direttamente con il server remoto. In alternativa, alcuni sviluppatori creano una chat di inoltro Internet (IRC) e la ospitano su un server diverso in cui la botnet può attendere istruzioni. Basta monitorare a quali server si connettono principalmente le botnet e quindi eliminarle.

Altre botnet usano il metodo peer-to-peer interagendo con i "bot" più vicini, che quindi trasmettono informazioni al successivo in un processo continuo. Rende impossibile identificare il punto di origine dei dati. L'unico modo per interrompere l'efficienza della botnet è emettere falsi comandi o isolamento.

Infine, la rete TOR sta diventando un popolare mezzo di comunicazione per le botnet. È difficile sventare una botnet anonima nella rete Tor. Senza alcun errore da parte della persona che esegue la botnet, rintracciarla e abbatterla è piuttosto difficile.