Les 7 plus grands botnets de tous les temps

Les botnets sont devenus un phénomène de cybercriminalité désastreux au fil des ans. Ces armées d’appareils électroniques maîtrisés sont responsables des cyber-incidents qui vont du vol de données et de la fraude aux clics à la propagation de logiciels malveillants et aux attaques par déni de service distribué (DDoS).

Bien que les applications prédatrices sous-jacentes soient généralement faciles à supprimer à l’aide des antivirus traditionnels, les choses se compliquent lorsque des cybercriminels expérimentés entrent en scène. Dans ce scénario, les dommages peuvent être époustouflants et la réparation est extrêmement difficile.

Les paragraphes ci-dessous couvrent les botnets les plus percutants au monde et fournissent des conseils pratiques sur les stratégies de protection.

Zeus

  • Type: cheval de Troie bancaire
  • Période d’activité: 2007 – aujourd’hui
  • Nombre de robots: plus de 13 millions
  • Vecteurs de propagation: spam, kits d’exploitation
  • Empreinte géographique: 196 pays
  • Pertes financières causées: 120 millions de dollars

Lorsque le botnet Zeus battait son plein, il était responsable de 90% de tous les cas de fraude bancaire en ligne dans le monde. Le logiciel malveillant principal affecte principalement les ordinateurs via le spam. L’une des premières épidémies massives s’est produite en 2009, infectant plus de 3,5 millions de machines avec le cheval de Troie bancaire rien qu’aux États-Unis.

En 2011, le programme malveillant était équipé d’une fonctionnalité peer-to-peer pour les mises à jour de code. Cette version a été baptisée GameOver Zeus sur la base du script gameover.php qui mettrait en marche le processus de mise à jour.

Le ravageur est difficile à détecter en raison d’une fonction de cryptage polymorphe qui empêche les solutions audiovisuelles d’identifier ses traces dans un système. Pour couronner le tout, l’infection pollue plusieurs fichiers. Les chercheurs en sécurité recommandent de réinstaller un système criblé de Zeus à partir de zéro pour résoudre le problème pour de bon.

Orage

  • Type: ver de messagerie
  • Période d’activité: 2007-2008
  • Nombre de robots: 2 millions
  • Vecteurs de propagation: spam

Storm a fait ses débuts en 2007. À l’époque, il se propageait via des courriers indésirables contenant des vidéos de la catastrophe météorologique en Europe, d’où son nom.

Ce ver informatique était considéré comme le malware le plus avancé à l’époque. Ses auteurs ont exploité le protocole décentralisé peer-to-peer Overnet pour contrôler les bots. Storm a utilisé le polymorphisme côté serveur pour éviter d’être détecté par les outils de sécurité traditionnels.

Ce botnet a atteint son apogée en juillet 2007 lorsqu’il représentait au moins 20% du volume global de spam. Ces e-mails voyous poussaient principalement de faux médicaments.

Pour empêcher les laboratoires anti-programme malveillant de rétroconcevoir le code de Storm, ses fabricants exécutaient des attaques DDoS contre les adresses IP qui demandaient constamment des mises à jour de robots (ce que font souvent les entreprises de cybersécurité).

La campagne Storm s’est complètement arrêtée à la fin de 2008. La théorie la plus plausible expliquant pourquoi cela s’est produit est que les chercheurs au chapeau blanc ont réussi à perturber d’une manière ou d’une autre son infrastructure malveillante.

Emotet

  • Type: chargeur de malware, cheval de Troie bancaire
  • Période d’activité: 2014 – aujourd’hui
  • Nombre de bots: inconnu
  • Vecteurs de propagation: spam, ingénierie sociale

Bien que le cheval de Troie qui vole des informations d’identification, appelé Emotet, soit en rotation depuis seulement six ans, il est à la base de l’un des trois principaux botnets au monde en termes de sophistication et de dommages causés.

La charge utile nuisible arrive principalement avec des e-mails de spam contenant un fichier Microsoft Office non autorisé. Une fois ouverte, la pièce jointe invite le destinataire à activer les macros – si l’astuce fonctionne, le code prédateur est tranquillement téléchargé sur l’hôte.

En 2017, les opérateurs Emotet ont pris un virage serré et ont réutilisé la menace dans un chargeur pour d’autres logiciels malveillants, y compris les scareware et les ransomwares ciblant les entreprises. Une fonctionnalité décalée a été découverte en 2020: le cheval de Troie peut compromettre les réseaux Wi-Fi non sécurisés et se répliquer à l’intérieur. Cela rappelle l’activité des vers.

La campagne Emotet se fait le plus sentir en Allemagne, aux États-Unis, en Chine, en Russie, en Inde, en Pologne et en Italie.

Mariposa

  • Type: cheval de Troie / ver
  • Période d’activité: 2009-2011
  • Nombre de robots: environ 23 millions
  • Vecteurs de propagation: applications piratées, plates-formes P2P, messager MSN, clés USB
  • Empreinte géographique: 190 pays

Mariposa (le mot espagnol pour « papillon ») est entré en scène en 2009. Au cours de sa première épidémie, il a réduit en esclavage 12 millions d’ordinateurs dans le monde. Une autre vague repérée au cours de la durée de vie de deux ans de ce botnet a frappé 11 millions de machines supplémentaires.

Aussi obsolètes que cela puisse paraître de nos jours, les clés USB criblées de logiciels malveillants faisaient partie des principales techniques d’infection. Ce schéma était assez efficace à l’époque en raison du processus autorun.inf qui lancait automatiquement des exécutables sur des supports enfichables.

Mariposa visait à éliminer différents types de fraude en ligne, à distribuer des pirates de navigateur et à voler les identifiants de compte de ses victimes. Ses opérateurs ont obtenu furtivement des informations personnelles appartenant à environ 800 000 utilisateurs.

À la suite d’un effort de collaboration entre chercheurs et forces de l’ordre, les serveurs de commande et de contrôle sous-tendant le botnet Mariposa ont été saisis en Espagne en décembre 2009.

ZeroAccess

  • Type: téléchargeur de chevaux de Troie, mineur de pièces
  • Période d’activité: 2011-2013
  • Nombre de robots: 9 millions
  • Vecteurs de propagation: kits d’exploitation

Découverte en 2011, ZeroAccess était une souche inhabituelle qui utilisait une technique intelligente de « hareng rouge » pour mettre fin aux antivirus sur des ordinateurs contaminés. Il a créé un fichier leurre qui était facilement détectable par les solutions de sécurité populaires fonctionnant sur des machines subordonnées. De cette façon, le cheval de Troie a déterminé l’exécutable AV sous-jacent et a exécuté la commande ExitProcess pour y mettre fin.

En décembre 2013, les analystes de Microsoft et les forces de l’ordre ont identifié et mis hors service les serveurs C2 utilisés par les opérateurs de ZeroAccess. À la suite de cette décision, le botnet s’est arrêté.

Dridex

  • Type: cheval de Troie bancaire
  • Période d’activité: 2011 – aujourd’hui
  • Nombre de bots: inconnu
  • Vecteurs de propagation: bundles de logiciels gratuits criblés de malwares, spam

Aussi connu sous le nom de Citadel, ce méchant a été repéré pour la première fois à l’automne 2011. Sa première itération se concentrait sur le vol de fonds aux utilisateurs via des astuces d’injection Web qui permettaient au cheval de Troie d’afficher des formulaires de connexion malveillants sur des pages de commerce électronique ou de banque en ligne. Étant donné que cette version de Dridex pouvait se propager via des clés USB, elle était à l’origine classée comme un ver.

En 2017, les escrocs ont révisé leur code nuisible en passant à différents chargeurs une fois tous les jours. Cela rend la menace plus évasive et constitue un obstacle à la réalisation d’une analyse approfondie. Dridex infecte principalement les utilisateurs européens, le Royaume-Uni, l’Allemagne et la France étant les pays les plus touchés.

Mirai

  • Type: botnet DDoS
  • Période d’activité: 2016 – aujourd’hui
  • Nombre de robots: environ 550 000
  • Vecteurs de propagation: attaques par force brute

Ce botnet se compose d’appareils IoT infectés qui exécutent un micrologiciel vulnérable ou utilisent des informations d’identification d’accès faciles à deviner. Il a été créé par un groupe d’étudiants qui souhaitaient mettre hors ligne leur réseau informatique universitaire via une grande quantité de trafic Web malformé. Cependant, le contrôle de Mirai a échappé aux mains de ses auteurs et il est depuis devenu le botnet IoT le plus massif qui soit.

En octobre 2016, Mirai a été armé pour orchestrer une puissante attaque DDoS contre la société d’infrastructure Internet de haut niveau appelée Dyn. Ce raid a temporairement affecté Twitter, GitHub, Amazon, Comcast, Pinterest, Netflix et des dizaines d’autres services populaires. Bien que le nombre d’appareils intelligents mal gérés ne soit que d’environ 100000, l’attaque a généré un volume de trafic ahurissant qui dépassait largement 1 Tbit / s.

Conseils de protection

Les botnets sont là pour rester, et les utilisateurs finaux et les entreprises doivent donc se défendre de manière proactive contre la menace croissante. Les méthodes rentables suivantes peuvent empêcher vos appareils de devenir des fruits à portée de main:

    . Le bon côté est que la plupart des solutions de sécurité peuvent facilement identifier le code fragmentaire utilisé par les opérateurs de botnet. Par conséquent, exécuter des analyses régulières avec un outil audiovisuel réputé représente la moitié de la bataille

    Bien que les services de messagerie modernes filtrent la plupart des e-mails de spam et de phishing en un clin d’œil, certains de ces messages peuvent encore se retrouver dans votre boîte de réception. Si l’expéditeur n’est pas familier, il vaut mieux ne jamais ouvrir les fichiers joints à ces e-mails

  • Gardez votre système d’exploitation et vos applications tierces à jour. Il s’agit d’une habitude extrêmement importante qui empêche les logiciels malveillants liés aux botnets d’exploiter les vulnérabilités connues de votre logiciel. Parce que les mises à jour corrigent ces failles, vous pouvez élever la barre pour les attaquants
  • Traitez les lots de logiciels gratuits avec prudence. Certains fabricants de botnets diffusent leurs logiciels malveillants via des packages d’applications gratuits dans lesquels l’option de configuration par défaut masque la liste réelle des entités en cours d’installation. Choisissez toujours le mode d’installation personnalisé et désélectionnez les éléments indésirables, le cas échéant
  • Les botnets IoT tels que la charnière Mirai mentionnée ci-dessus reposent sur des mots de passe de micrologiciel faibles sur les appareils connectés. Assurez-vous de modifier les informations d’identification par défaut et de spécifier des mots de passe difficiles à deviner composés de lettres, de chiffres et de caractères spéciaux

L’article précédent est d’un de nos contributeurs externes.

Il ne représente pas l’opinion de Benzinga et n’a pas été édité.

Tags: , ,