Principali minacce del panorama botnet 2024

Il nostro ultimo post sui botnet ha esplorato la terminologia, le architetture e le capacità di questi versatili strumenti di attacco. Questo post esaminerà più da vicino i botnet più dominanti dell'ultimo anno. 

Il più grande botnet conosciuto è stato il botnet 911 S5 che è stato smantellato nel 2024. Al suo apice aveva circa 19 milioni di bot attivi operanti in 190 paesi. 911 S5 si è diffuso tramite applicazioni VPN infette, come MaskVPN, DewVPN, ShieldVPN, e alcune altre. Un botnet potrebbe includere computer personali, server aziendali, dispositivi mobili e dispositivi Internet of Things (IoT) come termostati intelligenti, telecamere e router. La composizione del botnet dipende dal malware. Ad esempio, il nuovo botnet Eleven11bot utilizza solo dispositivi basati su HiSilicon che eseguono il software TVT-NVMS9000, poiché il malware è progettato per sfruttare una singola vulnerabilità che gira su questi dispositivi. Questo limita la composizione e la dimensione del botnet, anche se il botmaster potrebbe aggiungere nuove capacità per far crescere la rete.

Il danno causato dagli attacchi botnet si manifesta in diversi modi: interruzioni aziendali, operazioni diffuse di furto di dati, campagne di distribuzione ransomware e persino attività di cryptojacking in cui le risorse informatiche vengono dirottate per l'estrazione di criptovaluta. Gli effetti a cascata di questi attacchi includono violazioni dei dati, perdite finanziarie e danni reputazionali che possono richiedere anni per essere superati.

Botnet, botmaster e capacità stanno sempre cambiando. Come le minacce ransomware, i botmaster e gli attori delle minacce affiliate vogliono espandere la portata dei loro attacchi. Possono specializzarsi in un tipo specifico di crimine, ma miglioreranno le loro operazioni per infettare più dispositivi e aggiungere ridondanza alle loro reti. Non è chiaro quanti botnet siano attivi in un dato momento, o quanti emergano o siano interrotti ogni anno. L'attività dei botnet è tipicamente misurata tramite metriche di attacco piuttosto che dal numero e dalla dimensione dei botnet. Tuttavia, uno studio recente ha rilevato che l'attività dei botnet sta diventando più forte e distruttiva. Alcuni risultati chiave:

• Il numero totale di attacchi DDoS nel 2024 è aumentato del 53% rispetto al 2023.
• L'attacco DDoS più potente del 2024 ha raggiunto il picco di 1,14 Tbps, ovvero il 65% in più rispetto al record dell'anno precedente di 0,69 Tbps.
• La più grande botnet che abbiamo rilevato nel 2024 era composta da 227.000 dispositivi (rispetto alla più grande botnet del 2023, che includeva "solo" circa 136.000 dispositivi). Questa rapida crescita delle dimensioni delle botnet è attribuita al crescente numero di dispositivi obsoleti nei paesi in via di sviluppo.

Lo studio ha anche rilevato che gli attacchi multi-vettoriali sono aumentati dell'8% nel 2023, il che significa che l'attacco è abbastanza sofisticato da colpire lo stesso obiettivo in modi diversi. Tratteremo gli attacchi multivettoriali in un post futuro.

Principali botnet del 2024

Non possiamo entrare in tutti i botnet che sono stati attivi nell'ultimo anno, ma possiamo analizzarne alcuni. Questi sono alcuni dei più dominanti del 2024.

Botnet Phorpiex

Phorpiex è attivo da oltre un decennio, con l'eccezione di circa cinque mesi nel 2021 quando l'operatore originale ha chiuso la rete e ha venduto il codice sorgente.

Era tornato online entro dicembre di quell'anno, sebbene fosse riemerso come una variante chiamata 'Trik' o 'Twizt'. La nuova versione poteva operare in modalità peer-to-peer, il che aumentava la resilienza eliminando la necessità di server di comando e controllo (C2C). Phorpiex è principalmente utilizzato per distribuire ransomware attraverso campagne di spam massicce. È stato anche particolarmente associato a campagne di sextortion e alla consegna di payload di malware e ransomware. Nell'aprile 2024, il New Jersey Cybersecurity and Communications Integration Cell (NJCCIC) ha identificato una campagna di ransomware marchiata LockBit consegnata dal botnet Phorpiex. Questo è stato uno degli attacchi Phorpiex più notevoli nel 2024.

Questo malware ha subito diverse iterazioni per rimanere al passo con le misure di sicurezza. Gli aggiornamenti si concentrano tipicamente sul miglioramento delle capacità di distribuzione di spam del botnet e sull'aumento della sua abilità di consegnare efficacemente altri payload di malware. Gli operatori hanno sfruttato abilmente la forza lavoro remota al culmine della pandemia sfruttando le vulnerabilità in applicazioni come Zoom. Le informazioni catturate tramite questi metodi sono state utilizzate per perfezionare il loro materiale di estorsione.

Phorpiex non è la botnet più sofisticata, ma il suo utilizzo nella distribuzione di ransomware e nelle campagne di phishing l'ha resa una delle principali minacce basate su volume del 2024.

Androxgh0st Botnet

Androxgh0st è stato identificato dai ricercatori alla fine del 2022, anche se potrebbe essere stato attivo prima. Gli analisti hanno trovato somiglianze nel codice con il malware botnet Mozi e hanno osservato Androxgh0st distribuire payload Mozi contro dispositivi IoT. Questo è un collegamento significativo tra i due, che porta alla teoria che Androxgh0st fosse un'integrazione o un'evoluzione di Mozi. La botnet Mozi si è 'dissolta' nell'agosto 2023, e non è noto con certezza se Mozi sia stata disattivata o se si sia fusa completamente con Androxgh0st. L'FBI (Federal Bureau of Investigation) e la CISA (Cybersecurity and Infrastructure Security Agency) hanno rilasciato un avviso congiunto sulla cybersecurity (CSA) nel gennaio 2024.

Il malware Androxgh0st stabilisce una botnet per l'identificazione delle vittime e lo sfruttamento in reti vulnerabili, e prende di mira file che contengono informazioni riservate, come le credenziali, per varie applicazioni di alto profilo.

I ricercatori di sicurezza sospettano “con bassa fiducia” che Androxgh0st sia gestito da attori di minacce allineati agli interessi della Repubblica Popolare Cinese (PRC) e rappresenti una nuova generazione di botnet ibride che combinano capacità da più fonti. Il botnet prende di mira sistemi Windows, Mac e Linux e sfrutta computer personali, server web e dispositivi IoT. Queste capacità ampliano la portata del botnet attraverso le reti e l'internet globale. Molti considerano Androxgh0st una minaccia significativa per le infrastrutture critiche e la sicurezza nazionale.

Ciò che distingue questa botnet sono le sue ampie capacità di sfruttamento: prende di mira vulnerabilità in VPN, firewall, router e applicazioni web, conferendole un'eccezionale versatilità nel compromettere diversi tipi di sistemi. Questa adattabilità la rende particolarmente difficile da contrastare. Androxgh0st è nota per la diversità del suo portfolio di attacchi, che include attacchi DDoS, operazioni di furto di dati e furto di credenziali focalizzato sul cloud.

Botnet Gafgyt (Bashlite)

Gafgyt, originariamente chiamato Bashlite, è una botnet che colpisce dispositivi IoT e sistemi basati su Linux. È stata osservata per la prima volta intorno al 2014 e si è adattata con successo ai progressi della cybersecurity e dell'intelligence sulle minacce. Ci sono diverse varianti, tra cui alcune che hanno incorporato il codice della botnet Mirai per espandere le capacità di comando e attacco. Le botnet basate su Gafgyt sono in grado di effettuare attacchi di forza bruta e DDoS, furto di credenziali e criptomining alimentato da GPU. Gafgyt eliminerà anche qualsiasi malware concorrente già presente sul sistema.

Nel 2024, Gafgyt ha iniziato a prendere di mira gli ambienti cloud-native, permettendogli di condurre operazioni più intensive dal punto di vista della CPU. È stato particolarmente efficace nell'infettare router wireless di produttori come TP-Link e Zyxel. Attualmente viene operato come botnet-as-a-service (BaaS) e collegato a un attore di minacce chiamato Keksec, noto anche come FreakOut.

Gafgyt sfrutta password deboli e vulnerabilità note nei dispositivi IoT e negli ambienti cloud. Attualmente sembra avere un duplice obiettivo: generare entrate attraverso il cryptomining mantenendo al contempo la capacità di lanciare attacchi DDoS potenti e multivettore. Questo lo rende attraente per i criminali alla ricerca di flussi di entrate multipli attraverso un'unica operazione *-as-a-service.

Botnet Mirai

Mirai ha una storia interessante. È stato creato nel 2016 da Paras Jha, Josiah White e Dalton Norman. Jha e i suoi associati hanno progettato Mirai per lanciare attacchi DDoS contro server rivali, offrendo poi servizi di protezione a quei server attraverso la loro azienda, ProTraf Solutions. Brian Krebs è stato strumentale nell'indagine che ha portato i botmaster di Mirai alla giustizia. Puoi trovare la copertura di Krebs qui e maggiori informazioni di background qui.

La fuga del codice sorgente di Mirai è stata un momento decisivo nella sicurezza informatica. Considera gli impatti immediati e a lungo termine:

• Le barriere per lanciare una botnet sono state abbassate, perché chiunque con competenze tecniche di base poteva utilizzare il codice Mirai come punto di partenza. Questo ha portato a un aumento degli attacchi DDoS e a una proliferazione di botnet ibride che incorporavano le capacità di Mirai. L'attacco del 2016 a Dyn ha utilizzato una variante di Mirai.
• Mirai ha esposto i rischi dell'utilizzo di credenziali e configurazioni predefinite sui dispositivi IoT. Prima di Mirai e della proliferazione dei botnet, i rischi per i dispositivi IoT erano solo teorici. L'industria ha accelerato gli standard di sicurezza IoT dopo la fuga di notizie.
• Il codice trapelato è diventato un acceleratore per nuove minacce. Partendo da un malware botnet funzionante, gli attori delle minacce potevano concentrarsi sullo sviluppo di nuove capacità come il mining di criptovalute e attacchi DDoS multivettoriali.

Mirai è specializzato in potenti attacchi DDoS lanciati da dispositivi IoT. Diversi fornitori hanno scoperto che circa il 72% del nuovo malware IoT contiene codice Mirai. Questo potrebbe essere attribuito alla logica originale di forza bruta e ai protocolli di comando e controllo, che di solito vengono clonati in nuove varianti.

Un paesaggio fluido

La minaccia dei botnet a livello mondiale è in continua evoluzione. Quando un botnet viene neutralizzato attraverso azioni legali o misure di sicurezza, nuove varianti o interi nuovi botnet emergono rapidamente per colmare il vuoto. Questa evoluzione costante presenta sfide significative per i difensori che devono proteggere le risorse da minacce sconosciute attuali e future. Tuttavia, possiamo identificare diverse tendenze chiave nel panorama dei botnet:

• Aumento della specializzazione, con alcuni botnet che si concentrano su tipi di attacco o obiettivi specifici.
• Maggiore sofisticazione nelle tecniche di evasione, rendendo più difficile il rilevamento e l'attribuzione.
• La commercializzazione delle capacità dei botnet attraverso modelli "Botnet-as-a-Service".
• La convergenza delle capacità dei botnet, come vettori di attacco multipli o flussi di entrate da un singolo botnet.
• Posizionamento strategico delle risorse botnet in giurisdizioni con cooperazione internazionale limitata nell'applicazione delle leggi contro il crimine informatico.

Una protezione efficace dai botnet deriva dalla combinazione di soluzioni tecnologiche con la consapevolezza umana e la preparazione organizzativa. Mantenendosi informati sulle minacce emergenti e implementando misure di sicurezza complete, le organizzazioni e gli individui possono ridurre significativamente la loro vulnerabilità a queste potenti e persistenti minacce informatiche.

Mitigazione e Protezione Bot

Proteggere dalle minacce dei botnet richiede un approccio multilivello che affronti sia la prevenzione delle infezioni che la mitigazione degli attacchi. Barracuda Advanced Bot Protection è lo strumento definitivo per combattere gli attacchi botnet multivettoriali. Fornendo meccanismi di difesa proattivi, visibilità avanzata e controlli personalizzabili, consente alle aziende di proteggere le loro imprese e mantenere il loro vantaggio competitivo in un mondo sempre più automatizzato.