Come vengono utilizzate le botnet negli attacchi DDoS?

Pubblicato: 2021-04-24

Gli attacchi DDoS, così come le botnet che consentono loro di verificarsi, sono una delle armi più potenti di Internet. Inoltre, chiunque può acquistare una botnet e creare scompiglio con pochi clic. Tutto ciò di cui hanno bisogno per farlo con successo sono alcune dozzine di dollari e alcune precauzioni di sicurezza.

Ad esempio, Mirai, una delle botnet più grandi e (in)famose di sempre, è stata opera di tre studenti universitari che hanno cercato di violare i server di Minecraft. Tuttavia, questo attacco del 2016 ha finito per diventare il più grande del suo genere fino ad oggi, rubando oltre 1 terabit al secondo e infettando oltre 600.000 dispositivi IoT.

Se desideri evitare di entrare a far parte di una botnet o di essere attaccato da una, è d'obbligo una protezione e una preparazione adeguate. Innanzitutto, dovresti imparare come funzionano le botnet e gli attacchi DDoS.

Mostra il sommario
  • Cos'è una botnet?
  • Botnet e attacchi DDoS
  • Mezzi di controllo botnet
  • Le botnet più famose della storia
  • Come stare lontano da botnet e attacchi DDoS?
  • Pensieri finali

Cos'è una botnet?

password-cybersecurity-hacking-lock

Come suggerisce il nome, una botnet è una rete di bot, ovvero dispositivi che sono stati dirottati utilizzando una sorta di malware. Gli hacker li utilizzano in diversi modi dannosi, dagli attacchi DDoS e la generazione di clic al furto di dati e allo spamming, ma in genere combinano strategie di attacco.

Ogni botnet ha tre componenti principali. Tanto per cominciare, nulla sarebbe possibile senza i bot herder, le menti dell'operazione.

Poi, ci sono anche i server o i dispositivi di comando e controllo (C&C) che consentono al pastore di comunicare con i bot. Lo fanno da una posizione remota, facendo del loro meglio per nascondere la propria identità. Inoltre, ci sono diversi protocolli di comunicazione tra cui gli hacker possono scegliere: IRC vecchio stile, TelNet, dominio, peer-to-peer, social media, ecc.

Infine, una botnet non sarebbe nulla senza il suo "esercito di computer zombie". Qualsiasi dispositivo IoT può facilmente diventare un bot all'insaputa o all'approvazione degli utenti, non importa se si tratta di uno smartphone o di un semplice baby monitor.

Consigliato per te: Attacco DDoS: come proteggere il tuo sito Web dagli attacchi DDoS?

Botnet e attacchi DDoS

cyber-security-network-internet-web-protection-safety-ddos-attacks

Quando si tratta di attacchi DDoS, lo scopo principale delle botnet è portare enormi quantità di traffico a un server e alla fine eliminarlo. I tempi di inattività fanno perdere alle aziende tempo e denaro preziosi. Di conseguenza, ciò danneggia la loro reputazione e infrange la fiducia di migliaia e migliaia di loro clienti.

Secondo un rapporto del 2018 dell'International Data Group, il tempo di inattività medio per attacco è compreso tra 7 e 12 ore, il che equivale a un enorme costo per attacco da $ 2,3 a $ 4 milioni. La motivazione alla base della maggior parte degli attacchi DDoS botnet è il vantaggio competitivo, la rabbia pura e il vandalismo o il denaro (nel caso del ransomware).

Con gli attacchi DDoS di rete o Layer 3, i bot inondano di traffico il server di destinazione, consumandone la larghezza di banda e sovraccaricandolo di richieste. Gli attacchi di livello 7, o attacchi a livello di applicazione, utilizzano la stessa strategia. Tuttavia, i loro obiettivi principali sono applicazioni e sistemi operativi deboli.

Ogni anno, gli attacchi DDoS stanno diventando più comuni, oltre che più sofisticati, rendendo le botnet più difficili che mai da tracciare ed eliminare. Inoltre, chiunque può acquistare o noleggiare una botnet, a volte per meno di $ 10 l'ora. Ci sono anche kit di botnet a noleggio, che chiamiamo booter/stressers, e stanno diventando sempre più popolari.

Mezzi di controllo botnet

pericolo-sicurezza-minaccia-cyber-crime-truffa-virus-hack

I due principali modelli di controllo botnet sono client-server e peer-to-peer.

Client-server

punto-01

Prima che nascessero le reti peer-to-peer, gli hacker utilizzavano il tradizionale metodo client-server. Questo tipo di rete implica l'esistenza di un server centrale che controlla le risorse ei dati. D'altra parte, nel frattempo sono emersi modi nuovi e più efficaci per farlo.

Peer to peer

punto-02

Uno di questi modi è il networking peer-to-peer (P2P). Il suo principale vantaggio è che non dispone di un server centralizzato. Invece, una rete di peer o nodi controlla tutte le risorse. Questo modello riduce significativamente il rischio di interruzioni o guasti, poiché sono sempre presenti server di backup in caso di interruzione. Queste reti P2P sono spesso crittografate, il che le rende ancora più difficili da rilevare e sconfiggere. La maggior parte delle moderne botnet utilizza questo tipo di rete.

Le botnet più famose della storia

hacking-cyber-crime-sicurezza-protezione-blocco-di-sicurezza

Anche se non conosciamo le cifre esatte, il numero e le dimensioni delle botnet sono in aumento da un po', con le botnet odierne che hanno milioni di servitori nei loro eserciti. Alla luce di ciò, esploriamo le botnet più grandi e memorabili che siano mai esistite.

Potrebbe piacerti: Le 5 principali minacce alla sicurezza informatica oggi e oltre.

Spammer Earthlink (2000)

botnet-ddos-attacks-1

Earthlink Spammer è stata la prima botnet in assoluto. Ha inviato milioni di e-mail dannose, ma apparentemente legittime, con l'intenzione di phishing, ovvero rubare dati sensibili dal destinatario. Facendo clic sul collegamento dall'e-mail, il virus verrebbe immediatamente scaricato sul loro computer, dopodiché invierebbe le informazioni al mittente.

Srizbi (2007-2008)

botnet-ddos-attacks-2

Srizbi era una botnet basata su trojan composta da oltre 450.000 dispositivi Microsoft infetti. A quel tempo, era la più grande botnet di sempre, superando la famigerata botnet Storm.

Srizbi era responsabile della metà dello spam inviato quell'anno, distribuendo oltre 60 trilioni di minacce ogni giorno, comprese e-mail di spam che pubblicizzavano orologi, penne e pillole per l'ingrandimento del pene. A un certo punto, Srizbi ha persino inviato spam politico, promuovendo la campagna del candidato alla presidenza degli Stati Uniti Ron Paul, anche se non è ancora chiaro il motivo per questo oggi.

Zeus (2007-2014)

botnet-ddos-attacks-3

ZeuS era un popolare malware trojan circa 10 anni fa, che consentiva all'hacker di eseguire tutti i tipi di attività criminali, più comunemente per rubare informazioni bancarie. Prima dell'arresto di sospetti legati a ZeuS, è riuscito a infettare oltre 3,6 milioni di dispositivi e oltre 70.000 account su numerosi siti Web, come Bank of America, NASA, Amazon, ABC, ecc.

Tuttavia, meno di un decennio dopo, ZeuS è emerso ancora una volta, questa volta come una rete peer-to-peer crittografata chiamata GameOver Zeus. È stato rimosso nel 2014, ma il suo creatore, Evgeny Bogachev, è ancora nell'elenco dei più ricercati dell'FBI.

Emotetto (2014-2021)

botnet-ddos-attacks-4

Emotet non era solo una botnet, ma anche un'importante operazione internazionale di criminalità informatica. Come molti altri, utilizzava un trojan bancario, distribuendolo tramite allegati di posta elettronica dall'aspetto innocente, come i documenti di Microsoft Word.

Tuttavia, Emotet era molto di più. Si è evoluto per diventare la soluzione Malware-as-a-Service (MaaS) per i gruppi di criminali informatici di alto livello, aiutando le operazioni di ransomware come Ryuk. La repressione di Emotet del 2021 è stata il risultato di uno sforzo di collaborazione tra più di otto paesi, tra cui Germania, Ucraina, Stati Uniti, ecc.

Mirai (2016-oggi)

botnet-ddos-attacks-5

Naturalmente, nessun elenco sarebbe completo senza la leggendaria botnet e malware Mirai. Con milioni di bot a loro disposizione, è la botnet più diffusa di oggi. Si rivolge principalmente ai dispositivi IoT (ad es. rilevatori di fumo, termostati, altoparlanti intelligenti e altri gadget), sfruttando le loro password deboli o inesistenti.

Come accennato all'inizio, le menti dietro Mirai erano un paio di studenti universitari che cercavano di trafficare con Minecraft, ma è diventato molto di più. In effetti, è stato responsabile di alcuni degli attacchi DDoS di maggior impatto nella storia recente. Ad esempio, Mirai era dietro l'attacco del 2016 al provider DNS Dyn, che è il più grande attacco DDoS mai registrato. A causa dell'attacco, migliaia di siti Web popolari erano inattivi per la giornata, inclusi Twitter, Reddit, Netflix e CNN.

Dopo l'attacco, i creatori hanno abilmente deciso di rilasciare il codice sorgente Mirai su GitHub per nascondere le loro identità. Non sorprende che il codice sia stato scaricato e riutilizzato migliaia di volte e in vari progetti di malware. Pertanto, l'intera portata dell'impatto di Mirai è insondabile. Sebbene gli autori siano stati presumibilmente catturati, Mirai continua a essere una delle più grandi minacce informatiche oggi.

Come stare lontano da botnet e attacchi DDoS?

hacker-cyber-crime-internet-sicurezza-protezione dai virus

Sfortunatamente, la maggior parte degli utenti non è nemmeno consapevole del fatto che il proprio dispositivo fa parte di una botnet viziosa. La nuova tecnologia ha consentito agli hacker di essere il più discreti e veloci possibile, causando nel contempo danni per milioni di dollari alle attività online. Gli attacchi DDoS sono piuttosto difficili da rilevare e molti di essi passano inosservati fino a poche ore dopo. Anche in questo caso, a volte è difficile distinguere un attacco hacker da un bug o un malfunzionamento.

Se noti un'attività strana e non riesci a individuare la causa, potrebbe essere il momento di sospettare un attacco. Ad esempio, clienti o dipendenti potrebbero segnalare che il tuo sito Web è lento o del tutto inattivo. Inoltre, dopo aver eseguito l'analisi del registro, potresti notare picchi drastici nel traffico del sito Web. Dopo aver analizzato attentamente ed eliminato ogni altra potenziale fonte, potresti essere in grado di capirlo. Eppure, a quel punto, le ore saranno passate e il danno sarà già stato fatto.

La cosa migliore da fare è trovare più soluzioni preventive e implementarle tutte. Ad esempio, non è sufficiente installare un software anti-malware e chiuderlo. Dovresti anche considerare di configurare alcuni server aggiuntivi, aumentare la larghezza di banda e acquistare alcuni strumenti di prim'ordine per aiutarti a monitorare le tue risorse e attività. Tutto sommato, dovresti assicurarti che non ci siano punti deboli nel sistema di sicurezza.

Potrebbe piacerti anche: La crescente necessità di sicurezza informatica: 10 suggerimenti per rimanere protetti online.

Pensieri finali

conclusione

Tutto sommato, le botnet sono state e continuano ad essere enormi minacce per la nostra società sempre più digitalizzata. Ancora più importante, sono stati un elemento cruciale in alcuni degli attacchi DDoS più devastanti della storia. Dato che stanno diventando sempre più popolari, dovresti adottare pratiche di sicurezza rigorose prima che si verifichi un attacco DDoS che causi gravi battute d'arresto per la tua attività.

Anche se sei estremamente cauto, un attacco DDoS può comunque capitarti. In tal caso, la soluzione migliore è essere ben organizzati e preparati. Elaborare in anticipo un piano di risposta completo ti aiuterà sicuramente a mitigare l'attacco botnet e le sue conseguenze nel più breve tempo possibile.