This post is also available in: Português Español
Os cibercriminosos são capazes de invadir contas, criar sites falsos, propagar phishing por todo lado, enganar pessoas para que elas entreguem informações pessoais e sigilosas, infectar várias máquinas com malware e etc.
Isso tudo é possível graças a um kit de ferramentas indispensável do cibercriminosos: a botnet.
Continue a leitura e saiba mais sobre botnet.
O que é Botnet?
Uma botnet é uma rede de computadores infectados que trabalham juntos para cumprir um objetivo, isso sob o comando de um computador principal.
São necessárias duas coisas para uma botnet:
– Uma grande rede de dispositivos infectados, conhecidos como zumbis, para fazer o trabalho pesado do esquema que o cibercriminoso planejou;
– Alguém para comandá-los, um centro de comando e controle ou um bot herder.
Como surgiu a botnet?
O termo botnet é uma combinação de bot e network (rede). Esse termo surgiu pela primeira vez em 2001 pela EarthLink Inc., durante um processo judicial contra Khan C. Smith.
Smith, um homem do Tennessee, conseguiu $ 3 milhões usando a maior rede de spam descoberta na época.
O esquema de Smith não terminou bem. Ele perdeu o processo e teve que pagar $ 25 milhões para a EarthLink.
Como as botnets funcionam?
Existem dois modelos principais de botnet: o modelo Cliente servidor e o modelo Peer-to-peer. (ponto a ponto)
Modelo cliente servidor.
Essa é a maneira mais antiga, em que os zumbis recebem suas instruções de um único local, normalmente um site ou algum servidor compartilhado.
Embora isso fosse suficiente no começo, isso significava que desligar uma botnet era relativamente fácil: bastava tirar o site ou servidor do ar que todo sistema ruía.
Modelo Peer-to-peer (ponto a ponto)
Esse modelo corrige a vulnerabilidade do modelo cliente servidor.
Nesse sistema, cada computador infectado comunica-se diretamente com alguns outros na rede e esses poucos computadores são conectados com alguns outros, que são conectados com mais alguns, até que todo o sistema seja entrelaçado.
Dessa maneira, remover um ou dois dispositivos não é um problema, pois outros poderiam fazer o trabalho deles.
Em ambos os modelos, o importante é garantir que apenas o proprietário do comando e controle possa comandar e controlar a rede.
Por isso, eles fazem uso de assinaturas digitais para garantir que apenas os comandos enviados por cibercriminosos sejam disseminados por toda a rede.
Como as botnets são criadas?
É necessário ter dispositivos para participar de uma rede configurada, portanto, os cibercriminosos se aproveitam dos cavalos de Tróia para infectar dispositivos.
Quando o cavalo de Tróia está em um computador (você pode ler mais sobre cavalo de Tróia aqui) ele abre uma “porta” que permite ao cibercriminosos acessar e controlar certos aspectos dessa máquina e algum outro dispositivo ao qual esse computador esteja conectado.
Assim que tenham computadores suficientes com “portas” abertas, o cibercriminoso combina essas máquinas em uma rede para criar uma botnet com sucesso.
Para que são usadas as botnets?
Uma botnet só permite aos cibercriminosos fazer duas ações: enviar dados rapidamente e fazer todos os computadores executarem a mesma ação simultaneamente.
Parece que são duas coisas simples, mas são muito perigosas, pois os cibercriminosos encontram maneiras de usar as botnets para fazer coisas incríveis e terríveis, como por exemplo: espalhar phishing e malwares, ataques de DDDoS e mineração de criptomoedas 24h por dia.
Alguns dos sucessos de botnet
Na história da internet, existiram botnets de sucesso. Vejamos algumas delas.
Gameover ZeuS
Era uma botnet peer-to-peer que se aproveitou de um malware mais antigo, o ZeuS Trojan, que infectou mais de 3,6 milhões de dispositivos e foi objeto de investigação internacional do FBI.
Mirai
O Mirai é uma botnet projetada para atacar especificamente sistemas Linux e foi usada para orquestrar alguns dos maiores ataques DDoS da década.
O que tornou o Mirai tão especial foi a agressividade com que ele se espalhou: uma vez em um dispositivo, ele procurava constantemente por outros dispositivos de IoT para se conectar na mesma rede.
Quando encontrava um, ele usava um banco de dados internet de nomes de usuários e senhas definidas em fábrica para tentar invadir o dispositivo.
ZeroAccess
O rootkit ZeroAccess foi o método principal usado para forçar computadores Windows a participar da botnet. Ele espalhou-se de forma agressiva por meio de engenharia social e ataques de adware, conseguindo infectar cerca de 9 milhões de dispositivos.
Como evitar fazer parte de uma botnet?
Proteger-se de uma botnet é como se proteger de outros malwares:
-Não acessar sites não confiáveis;
-Não clicar em anexos, imagens e links desconhecidos;
-Não baixar arquivos em que não confia;
-Não clicar em anúncios online;
-Tomar cuidado com e-mails phishing;
-Ter um antivírus poderoso em seu computador.
Seguindo essas dicas você estará seguro e evitará participar de uma botnet ou ser vítima de um ataque orquestrado por uma.
Minha máquina está infectada com uma botnet, o que fazer?
Se infelizmente você entrou em uma botnet e seu computador começar a mostrar alguns sintomas, pois seu antivírus não detectou a ameaça, você tem duas opções:
– Redefinir as configurações de fábrica em seu computador. Isso fará com que você se livre desse problema e de tudo o mais que estiver em seu dispositivo;
– Realizar um escaneamento de boot. Ao escanear o sistema antes que o sistema operacional inicie, você pode encontrar malwares profundamente enraizados. Isso deixa o malware visível e impede que o mesmo bloqueie o antivírus.
Não é necessário se desesperar, pois a infecção de botnet média tem vida curta e apenas 58% das infecções duram mais do que um dia. 0,9% dura mais do que uma semana.
Se o objeto de infecção for algum de seus dispositivos IoT, você deve reiniciar o equipamento e depois disso trocar a senha. Sempre que ele é desligado, o malware precisa infectá-lo novamente.
Sabendo o que os cibercriminosos podem fazer com uma botnet e que é fácil de evitá-la, basta seguir as dicas apresentadas nesse artigo para manter-se seguro desse tipo de infecção.
This post is also available in: Português Español
