Come vengono utilizzate le botnet negli attacchi DDoS?

Gli attacchi DDoS, così come le botnet che consentono loro di verificarsi, sono una delle armi più potenti di Internet. Inoltre, chiunque può acquistare una botnet e creare scompiglio con pochi clic. Tutto ciò di cui hanno bisogno per farlo con successo sono poche decine di dollari e alcune precauzioni di sicurezza.

Ad esempio, Mirai, una delle botnet più grandi e (in)famose di sempre, è stata il lavoro di tre studenti universitari che cercavano di violare i server di Minecraft. Tuttavia, questo attacco del 2016 ha finito per diventare il più grande del suo genere fino ad oggi, rubando oltre 1 terabit al secondo e infettando oltre 600.000 dispositivi IoT.

Se vuoi evitare di entrare a far parte di una botnet o di essere attaccato da una botnet, una protezione e una preparazione adeguate sono indispensabili. Prima di tutto, dovresti imparare come funzionano le botnet e gli attacchi DDoS.

Che cos'è una botnet?

Come suggerisce il nome, una botnet è una rete di bot, ovvero dispositivi che sono stati dirottati utilizzando una sorta di malware. Gli hacker li utilizzano in diversi modi dannosi, dagli attacchi DDoS e generazione di clic al furto di dati e allo spamming, ma in genere combinano strategie di attacco.

Ogni botnet ha tre componenti principali. Tanto per cominciare, niente sarebbe possibile senza i bot pastori, le menti dell'operazione.

Poi, ci sono anche i server o dispositivi di comando e controllo (C&C) che consentono al pastore di comunicare con i robot. Lo fanno da una postazione remota, facendo del loro meglio per nascondere la propria identità. Inoltre, ci sono diversi protocolli di comunicazione tra cui gli hacker possono scegliere: IRC vecchia scuola, TelNet, dominio, peer-to-peer, social media, ecc.

Infine, una botnet non sarebbe niente senza il suo "esercito di computer zombie". Qualsiasi dispositivo IoT può facilmente diventare un bot all'insaputa o all'approvazione degli utenti, non importa se si tratta di uno smartphone o di un semplice baby monitor.

Consigliato per te: attacco DDoS: come proteggere il tuo sito web dagli attacchi DDoS?

Botnet e attacchi DDoS

Quando si tratta di attacchi DDoS, lo scopo principale delle botnet è quello di portare enormi quantità di traffico a un server e alla fine disattivarlo. I tempi di inattività fanno perdere alle aziende tempo e denaro preziosi. Di conseguenza, ciò danneggia la loro reputazione e infrange la fiducia di migliaia e migliaia di loro clienti.

Secondo un rapporto del 2018 di International Data Group, il tempo di inattività medio per attacco è compreso tra 7 e 12 ore, il che equivale a un enorme costo da $ 2,3 a $ 4 milioni per attacco. La motivazione alla base della maggior parte degli attacchi botnet DDoS è il vantaggio competitivo, la rabbia pura e il vandalismo o il denaro (nel caso del ransomware).

Con gli attacchi DDoS di rete o di livello 3, i bot invadono il server di destinazione con il traffico, consumandone la larghezza di banda e travolgendolo di richieste. Gli attacchi di livello 7 o gli attacchi a livello di applicazione utilizzano la stessa strategia. Tuttavia, i loro obiettivi principali sono applicazioni e sistemi operativi deboli.

Ogni anno, gli attacchi DDoS diventano più comuni, oltre che più sofisticati, rendendo le botnet più difficili che mai da tracciare ed eliminare. Inoltre, chiunque può acquistare o noleggiare una botnet, a volte per meno di 10 dollari l'ora. Esistono anche kit di botnet a noleggio, che noi chiamiamo booter/stresser, e stanno diventando sempre più popolari.

Mezzi di controllo delle botnet

I due principali modelli di controllo delle botnet sono client-server e peer-to-peer.

Client-server

Prima che nascessero le reti peer-to-peer, gli hacker utilizzavano il tradizionale metodo client-server. Questo tipo di rete implica l'esistenza di un server centrale che controlla le risorse ei dati. D'altra parte, nel frattempo sono nati modi nuovi e più efficaci per farlo.

Peer to peer

Uno di questi modi è il networking peer-to-peer (P2P). Il suo principale vantaggio è che non dispone di un server centralizzato. Invece, una rete di peer o nodi controlla tutte le risorse. Questo modello riduce significativamente il rischio di interruzioni o guasti, poiché sono sempre presenti server di backup nel caso in cui uno venga rimosso. Queste reti P2P sono spesso crittografate, il che le rende ancora più difficili da rilevare e sconfiggere. La maggior parte delle botnet moderne utilizza questo tipo di rete.

Le botnet più famose della storia

Anche se non conosciamo le cifre esatte, il numero e le dimensioni delle botnet sono in aumento da un po' di tempo, con le botnet di oggi che hanno milioni di servitori nei loro eserciti. Alla luce di ciò, esploriamo le botnet più grandi e memorabili che siano mai esistite.

Potrebbe piacerti: Le 5 principali minacce alla sicurezza informatica oggi e oltre.

Spammer Earthlink (2000)

Earthlink Spammer è stata la prima botnet in assoluto. Ha inviato milioni di e-mail dannose, ma apparentemente legittime, con l'intenzione di phishing, vale a dire rubare dati sensibili dal destinatario. Facendo clic sul collegamento dall'e-mail, il virus verrebbe immediatamente scaricato sul proprio computer, dopodiché invierebbe le informazioni al mittente.

Srizbi (2007-2008)

Srizbi era una botnet basata su trojan composta da oltre 450.000 dispositivi Microsoft infetti. All'epoca era la più grande botnet di sempre, superando la famigerata botnet Storm.

Srizbi era responsabile della metà dello spam inviato quell'anno, distribuendo oltre 60 trilioni di minacce ogni giorno, comprese e-mail di spam che pubblicizzavano orologi, penne e pillole per l'ingrandimento del pene. Ad un certo punto, Srizbi stava persino inviando spam politico, promuovendo la campagna del candidato alla presidenza degli Stati Uniti Ron Paul, anche se non è ancora chiaro perché oggi.

Zeus (2007-2014)

ZeuS era un popolare malware trojan circa 10 anni fa, che consentiva all'hacker di eseguire tutti i tipi di attività criminali, più comunemente per rubare informazioni bancarie. Prima dell'arresto dei sospetti legati a Zeus, è riuscito a infettare oltre 3,6 milioni di dispositivi e oltre 70.000 account su numerosi siti Web, come Bank of America, NASA, Amazon, ABC, ecc.

Tuttavia, meno di un decennio dopo, Zeus è emerso ancora una volta, questa volta come una rete peer-to-peer crittografata chiamata GameOver Zeus. È stato rimosso nel 2014, ma il suo creatore, Evgeny Bogachev, è ancora nella lista dei più ricercati dell'FBI.

Emotet (2014-2021)

Emotet non era solo una botnet, ma anche un'importante operazione di criminalità informatica internazionale. Come molti altri, ha utilizzato un trojan bancario, distribuendolo tramite allegati e-mail dall'aspetto innocente, come documenti di Microsoft Word.

Tuttavia, Emotet era molto più di questo. Si è evoluto fino a diventare la soluzione Malware-as-a-Service (MaaS) ideale per i gruppi di criminali informatici di alto livello, aiutando le operazioni di ransomware come Ryuk. La repressione di Emotet del 2021 è stata il risultato di uno sforzo di collaborazione tra più di otto paesi, tra cui Germania, Ucraina, Stati Uniti, ecc.

Mirai (2016-oggi)

Naturalmente, nessun elenco sarebbe completo senza la leggendaria botnet Mirai e il malware. Con milioni di bot a loro disposizione, è oggi la botnet più diffusa. Si rivolge principalmente ai dispositivi IoT (ad esempio, rilevatori di fumo, termostati, altoparlanti intelligenti e altri gadget), sfruttando le loro password deboli o inesistenti.

Come accennato all'inizio, le menti dietro Mirai erano un paio di studenti universitari che cercavano di spingere Minecraft, ma è diventato molto di più. In effetti, è stato responsabile di alcuni degli attacchi DDoS più incisivi della storia recente. Ad esempio, Mirai era dietro l'attacco del 2016 al provider DNS Dyn, che è il più grande attacco DDoS mai registrato. A causa dell'attacco, migliaia di siti Web popolari sono rimasti inattivi per la giornata, inclusi Twitter, Reddit, Netflix e CNN.

Dopo l'attacco, i creatori hanno abilmente deciso di rilasciare il codice sorgente di Mirai su GitHub per nascondere le loro identità. Non sorprende che il codice sia stato scaricato e riutilizzato migliaia di volte e in vari progetti di malware. Pertanto, l'intera portata dell'impatto di Mirai è insondabile. Sebbene gli autori siano stati presumibilmente catturati, Mirai continua a essere una delle più grandi minacce informatiche di oggi.

Come stare lontano da botnet e attacchi DDoS?

Sfortunatamente, la maggior parte degli utenti non sa nemmeno che il proprio dispositivo fa parte di una feroce botnet. La nuova tecnologia ha consentito agli hacker di essere il più discreti e rapidi possibile, causando nel contempo milioni di dollari di danni alle attività online. Gli attacchi DDoS sono piuttosto difficili da rilevare e molti di essi passano inosservati fino a ore dopo. Anche in questo caso, a volte è difficile distinguere un attacco hacker da un bug o un malfunzionamento.

Se noti attività strane e non riesci a individuare la causa, potrebbe essere il momento di sospettare un attacco. Ad esempio, clienti o dipendenti potrebbero segnalare che il tuo sito Web è lento o inattivo. Inoltre, dopo aver eseguito l'analisi del registro, potresti notare picchi drastici nel traffico del sito web. Dopo aver analizzato attentamente ed eliminato ogni altra potenziale fonte, potresti essere in grado di capirlo. Eppure, a quel punto, saranno passate delle ore e il danno sarà già stato fatto.

La cosa migliore da fare è trovare più soluzioni preventive e implementarle tutte. Ad esempio, non è sufficiente installare un software anti-malware e chiuderlo. Dovresti anche considerare di configurare alcuni server aggiuntivi, aumentare la larghezza di banda e acquistare alcuni strumenti di prim'ordine per aiutarti a monitorare le tue risorse e attività. Tutto sommato, dovresti assicurarti che non ci siano punti deboli nel sistema di sicurezza.

Potrebbe piacerti anche: La crescente esigenza di sicurezza informatica: 10 consigli per rimanere protetti online.

Pensieri finali

Tutto sommato, le botnet sono state e continuano a essere enormi minacce per la nostra società sempre più digitalizzata. Ancora più importante, sono stati un elemento cruciale in alcuni degli attacchi DDoS più devastanti della storia. Dato che stanno diventando sempre più popolari, dovresti adottare rigorose pratiche di sicurezza prima che ti capiti un attacco DDoS e causi gravi battute d'arresto alla tua attività.

Anche se sei molto cauto, un attacco DDoS può comunque capitarti. In tal caso, la soluzione migliore è essere ben organizzati e preparati. Elaborare in anticipo un piano di risposta completo ti aiuterà sicuramente a mitigare l'attacco botnet e le sue conseguenze nel più breve tempo possibile.