Brasil é líder em rede de bot multifuncional

País tem quase 3 mil centros de comando e controle do malware Njrat, que possui ferramentas de acesso remoto.

Pesquisadores da Kaspersky Lab publicaram um relatório sobre a atividade de botnets no primeiro semestre de 2018 que analisa mais de 150 famílias de malware e suas modificações, que circulam por 60 mil botnets em todo o mundo.

Um dos pontos mais notáveis apresentados pela pesquisa foi a crescente demanda internacional por malware multifuncionais, que não são projetados para fins específicos, mas flexíveis para realizar praticamente qualquer tarefa.

Outro destaque é o fato de o Brasil ser líder em redes de computadores-zumbi do malware Njrat, malware que permite configurar uma backdoor no PC infectado, permitindo a criação de uma botnet com um mínimo de conhecimento.
Botnets são redes de dispositivos comprometidos usadas em atividades criminosas, como disseminar malware e facilitar ataques DDoS e de spam. Usando a tecnologia Botnet Tracking (rastreamento de botnets) da Kaspersky Lab, pesquisadores da empresa monitoram continuamente a atividade dessas redes para evitar ataques futuros ou pegar novos tipos de Trojan direcionados a bancos em sua origem.  A tecnologia funciona a partir de um dispositivo comprometido, capturando os comandos recebidos de agentes de ameaças que usam botnets para distribuir malware. Isso fornece aos pesquisadores valiosas amostras de malware e estatísticas.

No primeiro semestre de 2018, a parcela de malware com finalidade única distribuída por meio de botnets caiu significativamente em comparação com o 2º semestre de 2017. Por exemplo, nesse período, 22% de todos os arquivos maliciosos únicos distribuídos pelas botnets monitoradas pela Kaspersky Lab eram Trojans direcionados a bancos. No primeiro semestre de 2018, essas ameaças caíram 9,21 pontos percentuais, com 13,25% de todos os arquivos maliciosos observados pelo serviço de rastreamento de botnets.

A participação das bots que enviam spam – outro tipo de software malicioso com finalidade única distribuído pelas botnets – também foi significativamente reduzida: de 19% no segundo semestre de 2017 para 12% no primeiro semestre de 2018. Os bots de DDoS também diminuíram, de 2,7% no segundo semestre de 2017 para 12% no primeiro semestre de 2018.

Ao mesmo tempo, o maior crescimento observado foi dos malware de natureza versátil, especialmente os com ferramentas de acesso remoto (RAT, Remote Access Tools) que proporcionam oportunidades praticamente ilimitadas de exploração do computador infectado.

Desde o primeiro semestre de 2017, a participação dos arquivos de RATs encontrados nos malware distribuídos por botnets praticamente dobrou, aumentando de 6,5% para 12,2%. Njrat, DarkComet e Nanocore ocuparam os primeiros lugares na lista de RATs mais difundidos. Por causa de sua estrutura relativamente simples, os três backdoors podem ser modificados até por um hacker amador. Isso permite que ele seja adaptado para distribuição em regiões específicas. Em termos de distribuição geográfica dos servidores de controle, o backdoor do Njrat conquistou o prêmio “mais internacional”, com centros de comando e controle em 99 países, incluindo Brasil, Colômbia, Argentina, México, Peru, Chile e Venezuela. O Brasil é líder na quantidade de bots deste malware.
Os cavalos de Troia, também usados com diversas finalidades, não demonstraram um avanço tão grande quanto as RATs. Porém, diferentemente dos malware com finalidade única, a parcela de arquivos detectados aumentou de 33% no segundo semestre de 2017 para 34% no primeiro semestre de 2018. Da mesma forma que os backdoors, uma família de cavalos de Troia pode ser modificada e controlada por vários servidores de comando e controle (C&C), e cada um pode ter objetivos diferentes, como espionagem cibernética ou roubo de credenciais.

“O motivo por que as RATs e outros malware de uso variado estão avançando nas botnets é claro: a propriedade de botnets custa caro e, para obter lucros, os criminosos também precisam aproveitar toda e qualquer oportunidade de ganhar dinheiro”,diz Alexander Eremin, especialista da Kaspersky Lab. “Uma botnet formada por malware multifuncionais pode mudar suas funções com relativa rapidez e trocar o envio de spam para ataques DDoS ou distribuição de Trojans bankers direcionados a bancos. Essa habilidade, por si só, permite que o proprietário da botnet alterne entre diferentes modelos de negócios maliciosos ‘ativos’, mas também abre possibilidades de rendimentos passivos: o proprietário pode simplesmente alugar sua botnet para outros criminosos”, explica.

O único tipo de programa malicioso com finalidade única que demonstrou um crescimento impressionante nas redes de botnets foi o dos mineradores. Embora a porcentagem de arquivos registrados não se compare com os populares malware multifuncionais, sua participação cresceu duas vezes, o que acompanha a tendência geral do grande avanço da mineração mal-intencionada, como nossos especialistas observaram anteriormente.

Não deixe que seu micro seja parte de uma botnet

• Corrigir o software do computador assim que forem disponibilizadas atualizações de segurança para os bugs mais recentes descobertos. Os dispositivos não corrigidos podem ser explorados por criminosos virtuais e conectados a botnets;
• Não baixar software pirata e outros conteúdos ilegais, pois muitas vezes eles são usados para distribuir bots maliciosos;
• Usar o Kaspersky Internet Security para evitar que seu computador seja infectado por qualquer tipo de malware, incluindo os usados para a criação de botnets.

Leia a versão completa do relatório em Securelist.com.

Com informações da Jeffrey Group
Dicas