Et årti med malware: Top botnets i 2010'erne

I løbet af det seneste årti har feltet informationssikkerhed (infosec) oplevet en næsten konstant stigning i malware-aktivitet.

Uden tvivl var 2010'erne årtiet, hvor malware eksploderede fra et afslappet semi-materisk landskab til et fuld kriminel operation, der er i stand til at generere hundredvis af millioner af amerikanske dollars om året til skuespillerne involveret.

Mens der var tusindvis af malware-stammer, der har været aktive i 2010'erne, er nogle få malware-botnets steget over resten med hensyn til spredning og størrelse, hvilket svarer til, hvad nogle sikkerhedsforskere ville kalde "super botnets."

Malware-stammer som Necurs, Andromeda, Kelihos, Mirai eller ZeroAccess har skabt sig et navn, efter at de har inficeret millioner af enheder over hele kloden.

Denne artikel har til formål at opsummere de største malware-botnets, som vi har set i løbet af de sidste ti år. Da sporing af botnet aldrig er en 100 % nøjagtig operation, vil vi liste botnets i alfabetisk rækkefølge og nævne deres højeste størrelse, som de blev rapporteret på det tidspunkt.

---

3ve

3ve betragtes som det mest avancerede kliksvindel-botnet, der nogensinde er blevet samlet. Det fungerede fra 2013 til 2018, da det blev demonteret af en international retshåndhævelsesaktion med hjælp fra Google og cybersikkerhedsfirmaet White Ops.

Botnettet stolede på en blanding mellem ondsindede scripts, der kørte på datacenter-hostede servere og kliksvindel-moduler indlæst på computere, der er inficeret med tredjeparts malware, såsom Methbot og Kovter.

3ve operatører oprettede også falske websteder, hvor de indlæste annoncer og derefter brugte bots til at klikke på annoncer og generere overskud. På et tidspunkt menes botnettet at have bestået af mere end 1,5 millioner hjemmecomputere og 1.900 servere, der klikker på annoncer indlæst på mere end 10.000 falske websteder.

Se tidligere ZDNet dækning, Google & White Ops PDF-rapport, og Google blogindlæg.

---

Andromeda (Gamarue)

Andromeda-malwaren blev først set i naturen tilbage i 2011, og det er dit typiske "spam- og malware-downloader"-botnet - også kendt som Malware-as-a-Service (MaaS)-skema.

Med dette udtryk refererer vi til en type malware-operation, hvor skurke masse-spammer brugere for at inficere dem med Andromeda (Gamarue) malware-stammen. Skurke bruger derefter disse inficerede værter til at sende ny e-mail-spam til andre brugere og udvide eller beholde botnet i live, eller de downloader en anden fase af malware-stamme efter anmodning fra anden (betalende) malware bander.

MaaS botnets, der giver "installationsplads" er nogle af de mest lukrative cyberkriminelle ordninger, der findes, og skurke kan bruge forskellige malware-stammer til at opsætte backend-infrastrukturen til en sådan operation.

Andromeda, er en af ​​disse typer malware-stammer og har været meget populær gennem årene. Årsagen til dens succes er, at Andromedas kildekode lækket online for et par år siden og har givet flere kriminelle bander mulighed for at oprette deres eget botnet og prøve deres hånd med "cyberkriminalitet".

Gennem årene har cybersikkerhedsfirmaer sporet flere kriminelle bander, der driver et Andromeda-botnet. Den hidtil største kendte nåede to millioner inficerede værter, og var det lukket af Europol i december 2017.

Læsere kan finde en samling af infosec-rapporter om Andromeda-malware på dens Malpedia-side, plus denne, og denne.

---

Bamital

Bamital er et adware-botnet, der fungerede mellem 2009 og 2013. Den blev taget ned efter en fælles indsats af Microsoft og Symantec.

På inficerede værter ændrede Bamital malware søgeresultater for at indsætte brugerdefinerede links og indhold, og omdirigerede ofte brugere til ondsindede websteder, der tilbyder malware-baserede downloads.

Bamital menes at have inficeret mere end 1,8 millioner computere.

---

Bashlite

Bashlite, også kendt under navne som Gafgyt, Lizkebab, Qbot, Torlus og LizardStresser, er en malware-stamme designet til at inficere dårligt sikrede WiFi-hjemmeroutere, smartenheder og Linux-servere.

Dens primære og eneste rolle er at udføre DDoS-angreb.

Malwaren blev oprettet i 2014 af medlemmer af Lizard Squad hacking group, og dens kode lækket online i 2015.

På grund af denne lækage er malware ofte blevet brugt til at hoste de fleste af nutidens DDoS botnets, og er ofte den næstmest populære IoT malware-stamme, bag Mirai. Der findes i øjeblikket hundredvis af Bashlite-variationer.

---

Bayrob

Bayrob malware-botnet var aktivt mellem 2007 og 2016. Botnettets formål udviklede sig over tid. I sin oprindelige version blev Bayrob-malwaren brugt til at hjælpe hackere med at udføre eBay-svindel.

Men da eBay og andre slog ned på denne type online-svindel, udviklede Bayrob-banden deres malware gennem årene og gjorde det til et spam- og kryptomine-botnet i midten af ​​2010'erne, hvor botnettet siges at have inficeret mindst 400.000 computere.

Hele operationen blev lukket ned i 2016, da malwarens forfattere blev pågrebet i Rumænien og senere udleveret til USA. De to hovedudviklere bag botnettet blev for nylig dømt til henholdsvis 18 og 20 års fængsel.

Du kan læse hele historien om Bayrob malware-banden en særlig funktion vi løb tidligere i år.

---

Bredolab

Bredolab-botnettet menes at have inficeret hele 30 millioner Windows-computere mellem 2009 og november 2010, datoen for dets nedtagning, da hollandsk retshåndhævelse beslaglagde mere end 140 af deres kommando- og kontrolservere.

Botnettet blev bygget af en armensk malware-forfatter, som brugte spam-e-mail og drive-by-downloads til at inficere brugere med Bredolab-malwaren. Når de først er blevet inficeret, vil ofrenes computere blive brugt til at udsende enorme mængder spam.

---

Carna

Carna-botnettet er ikke, hvad du vil kalde "malware". Dette var et botnet oprettet af en anonym hacker med det formål at køre en internettælling.

Det inficerede over 420.000 internetroutere tilbage i 2012 og indsamlede blot statistik over internetbrug direkte fra brugere... og uden tilladelse.

Det inficerede routere, der ikke brugte en adgangskode eller var sikret med standard- eller let at gætte adgangskoder - en taktik, der blev våbenet til ondsindede DDoS-angreb fire år senere af Mirai-botnettet.

Du kan lære mere om Carna fra botnettets Wikipedia-side eller dette Darknet Diaries podcast episode.

---

Kamæleon

Chameleon var et kortvarigt botnet, der fungerede i 2013. Det er et af de sjældne annoncesvindel-botnets på denne liste.

Ifølge rapporter dengang, inficerede botnettets forfattere over 120.000 brugere med Chameleon malware. Denne malware ville åbne et Internet Explorer-vindue i baggrunden og navigere til en liste med 202 websteder, hvor det ville udløse annoncevisninger, der hjalp botnettets forfattere med at generere indtægter på op til $6,2 millioner pr. måned.

Botnettet stoppede med at fungere efter at være blevet fordrevet offentligt.

---

Coreflood

Coreflood er en af ​​internettets glemte trusler. Den dukkede op i 2001 og blev lukket ned i 2011.

Botnettet menes at have inficeret mere end 2,3 millioner Windows-computere med mere end 800.000 bots på det tidspunkt, hvor det blev fjernet i juni 2011.

Coreflood-operatører brugte booby-fangede websteder til at inficere brugernes computere via en teknik kaldet drive-by download. Når først et offer var inficeret, brugte de Coreflood til at downloade anden, mere potent malware - Coreflood fungerede som en typisk "malware-dropper/downloader."

For en beskrivelse af dets tekniske muligheder, se venligst Symantecs Coreflod tekniske analyse.

---

Dridex

Dridex er et af nutidens mest berygtede botnets. Dridex-malwaren og det tilhørende botnet har eksisteret siden 2011, og blev oprindeligt kendt som Cridex, før det udviklede sig til den nuværende Dridex-stamme (nogle gange også omtalt som Bugat).

Dridex-malwaren er primært en banktrojaner, der stjæler bankoplysninger og giver hackere adgang til bankkonti, men den kommer også med en info-tyver-komponent.

Malwaren distribueres normalt via malspam (e-mails med ondsindede vedhæftede filer). Der har været flere rapporter om, at gruppen, der oprettede Dridex, også kører Necurs e-mail spamming botnet. Der er kodeligheder mellem de to malware-stammer, og spam, der spreder Dridex, distribueres altid via Necurs spam-botnet.

En af de førende Dridex-kodere var arresteret tilbage i 2015, men Dridex-botnettet fortsatte med at fungere, og det er stadig aktivt i dag.

Størrelsen af ​​botnettet (antal computere inficeret med Dridex-malwaren) har varieret voldsomt gennem årene og på tværs af leverandører. Det Dridex og TA505 Malpedia-sider viser en brøkdel af de hundredvis af Dridex-rapporter, der viser, hvor enormt aktivt dette botnet har været i dette årti.

---

Emotet

Emotet blev første gang set i naturen i 2014. Det fungerede oprindeligt som en banktrojaner, men omarbejdede sig selv til en malware-dropper til andre cyberkriminelle operationer i 2016 og 2017.

I dag er Emotet verdens førende MaaS-drift, og bruges ofte til at give skurke adgang til virksomhedens netværk, hvor hackere kan stjæle proprietære filer eller installere ransomware for at kryptere følsomme data og senere afpresse virksomheder for store summer penge.

Størrelsen af ​​botnettet varierer fra uge til uge. Emotet opererer også via tre mindre "epoker" (mini-botnets), så det kan undgå koordinerede retshåndhævende fjernelser og teste forskellige handlinger før en bredere implementering.

Emotet-malwaren er også kendt som Geodo og dens tekniske muligheder er blevet bredt dokumenteret. Infografikken nedenfor giver et opdateret kig på Emotets muligheder i skrivende stund, med tilladelse fra Sophos Labs.

---

Festi

Festi-botnettet blev bygget ved hjælp af det eponyme Festi rootkit. Botnettet var aktivt mellem 2009 og 2013, hvor botnettets aktivitet langsomt døde ud af sig selv.

Under sit højdepunkt i 2011 og 2012 menes botnettet at have inficeret mere end 250.000 computere og var i stand til at sende over 2,5 milliarder spam-e-mails om dagen.

Udover dens veldokumenterede spamming-funktioner, blev botnettet også brugt til at udføre DDoS-angreb i sjældne tilfælde, da det er et af de sjældne Windows-baserede botnets, der gjorde dette.

Botnettet blev også kendt som Topol-Mailer. Flere kilder har identificeret den russiske programmør Igor Artimovich som botnettets skaber [1, 2].

---

Gameover ZeuS

Gameover ZeuS er et malware-botnet, der fungerede mellem 2010 og 2014, da dets infrastruktur var beslaglagt af international retshåndhævelse.

Botnettet blev samlet ved at inficere computere med Gameover ZeuS, en banktrojan bygget på den lækkede kildekode fra ZeuS-trojaneren. Gameover ZeuS menes at have inficeret op til en million enheder.

Udover at stjæle bankoplysninger fra inficerede værter, tilbød Gameover Zeus-banden også adgang til inficerede værter til andre cyberkriminalitetsgrupper, så de kunne installere deres egen malware. Gameover ZeuS botnet var den primære distributør af CryptoLocker, en af ​​de første ransomware-stammer nogensinde, der krypterede filer i stedet for at låse en brugers skrivebord.

Botnettets hovedoperatør blev identificeret som en russisk mand ved navn Evgeniy Mikhailovich Bogachev, stadig på fri fod i Rusland. FBI tilbyder i øjeblikket en belønning på 3 millioner dollars for information, der fører til Bogachevs arrestation, den største belønning, som FBI tilbyder til enhver hacker.

---

Gozi familie

Gozi malware-familien fortjener en omtale på denne liste, primært på grund af den indvirkning, det havde på den aktuelle malware-scene, og ikke nødvendigvis på grund af størrelsen af ​​de botnet, der er blevet oprettet (hvoraf de fleste har været meget små, men vedvarende på tværs af flere år).

Den originale Gozi-banktrojaner blev udviklet i 2006 som en direkte konkurrent til ZeuS-trojaneren og dens Malware-as-a-Service-tilbud.

Ligesom ZeuS lækket Gozis kildekode online (i 2010) og blev straks adopteret af andre cyberkriminelle bander, som indarbejdet og genbrugt det til at skabe adskillige andre banktrojanske heste, der har plaget malware-scenen i fortiden årti.

Mens der har været snesevis af Gozi-baserede malware-stammer, var de mest vedvarende af alle Gozi ISFB version, det Vawtrak (Neverquest) variant, og GozNym botnet - en kombination mellem Gozi IFSB og Nymain.

I øjeblikket anses Gozi for at være forældet, primært fordi det ikke rigtig lover godt med moderne browsere og operativsystemer, og det er langsomt blevet forladt i de senere år.

---

Grum

Grum-botnettet fungerede mellem 2008 og 2012 og blev bygget ved hjælp af den eponyme rootkit-malware-stamme. På sit højeste nåede botnettet en massiv størrelse på 840.000 inficerede computere, for det meste består af Windows XP-systemer.

Botnettet blev lukket ned i 2012 efter en fælles indsats fra Spamhaus, Group-IB og FireEye, selvom botnettets størrelse på det tidspunkt var gået ned til sølle 20.000.

Grums primære formål var at bruge inficerede computere til at sende titusinder af spam-e-mail-beskeder om dagen, primært til farmaprodukter og datingsider.

---

Hajime

Hajime-botnettet dukkede op i april 2017 og er stadig aktivt i dag. Det er dit klassiske IoT-botnet, der inficerer routere og smarte enheder via uoprettede sårbarheder og svage adgangskoder.

Botnettet var det første IoT-botnet at have brugt en P2P (peer-to-peer) struktur blandt alle IoT-botnets. I løbet af sit højdepunkt nåede botnettet en størrelse på 300.000 inficerede enheder; dog kunne den ikke bevare sin masse længe, ​​og andre botnets tyggede på siderne, og botnettet er nu skrumpet til en størrelse på omkring 90.000 enheder i gennemsnit.

Botnettet er aldrig blevet set involveret i DDoS-angreb, og det menes, at skurke bruger det til at proxy-behandle ondsindet trafik eller udføre legitimationsangreb.

---

Kelihos (Waledac)

Kelihos botnet, også kendt som Waleac, var aktivt mellem 2010 og april 2017, hvor myndighederne endelig lykkedes det at tage den ned i deres fjerde forsøg, efter at de fejlede 2011, 2012, og 2013.

Botnettet toppede med et par hundrede tusinde bots, men det var døde ned til omkring 60.000 bots på det tidspunkt, hvor det blev fjernet.

Hvad angår dets modus operandi, var Kelihos dit klassiske spam-botnet, der brugte inficerede bots til at sende e-mail-spamkampagner på vegne af forskellige svindlere eller malware-operationer.

Kelihos botnet-operatøren blev arresteret i 2017 i Spanien og udleveret til USA, hvor han erkendte sig skyldig sidste år og afventer nu dom.

---

Mirai

Udviklet af vrede elever så de kunne starte DDoS-angreb mod deres universitets- og Minecraft-servere, Mirai malware er blevet nutidens mest udbredte IoT malware-stamme.

Malwaren er designet til at inficere routere og smarte IoT-enheder, der bruger svage eller ingen Telnet-loginoplysninger. Inficerede enheder er samlet i et botnet, der er specielt designet til at starte DDoS-angreb.

Botnettet blev drevet privat i næsten et år, før en række DDoS-angreb trak for meget opmærksomhed mod dets operatører. I et forsøg på at skjule deres spor, forfatterne udgav Mirais kildekode til offentligheden, i håb om, at andre vil oprette deres egne Mirai-botnet og forhindre retshåndhævelse i at spore deres originale botnet.

Planen lykkedes ikke, og kodens offentlige udgivelse gjorde tingene mange gange værre, da flere trusselsaktører havde fået adgang til et kraftfuldt værktøj gratis. Lige siden da har Mirai-baserede botnet dagligt plaget internetservere med DDoS-angreb basis, med nogle rapporter, der sætter antallet af forskellige Mirai-botnet aktive på én gang over 100.

Siden den offentlige udgivelse af Mirai-kilden i slutningen af ​​2016 har andre malware-forfattere brugt Mirai-koden til at bygge deres egen brugerdefinerede varianter, hvor de mest kendte er Okiru, Satori, Akuma, Masuta, PureMasuta, Wicked, Sora, Owari, Omni og Mirai OMG.

---

Necurs

Necurs er et spam-botnet, der først blev set omkring 2012 og menes at være blevet skabt af det samme mandskab, der driver Dridex banktrojan (nemlig TA505 mandskab).

Botnettets eneste formål er at inficere Windows-computere og derefter bruge dem til at sende spam-e-mail. I hele sin levetid er botnettet blevet set sende spam til alle slags ordninger:

- Viagra og pharma spam
- mirakelkure
- datingsider spam
- Pumpe-og-dump-ordninger med lager/kryptovaluta
- Malspam spreder anden malware - såsom Dridex banktrojan, Locky ransomware eller Bart ransomware

Botnettet nåede sit højdepunkt i 2016-2017, hvor det kunne findes på omkring 6-7 millioner enheder på månedsbasis. Botnettet er stadig i live i dag, men er ikke så aktivt, som det var for et par år tilbage. Her er en kort liste over tekniske rapporter om Necurs botnet og nogle af dets kampagner.

---

Ramnit

Ramnit er endnu et botnet, der er oprettet for at styre den eponymt navngivne banktrojaner. Den dukkede op i 2010 og var baseret på den lækkede kildekode fra den ældre ZeuS-banktrojaner.

I sin første inkarnation nåede botnettet en størrelse på 350.000 bots, hvilket tiltrak sig opmærksomhed fra cybersikkerhedsleverandører og retshåndhævelse.

Myndighederne sænkede en første version i februar 2015, men da de ikke formåede at arrestere dens skabere, Ramnit-operatørerne genopstod med et nyt botnet et par måneder senere.

Ramnit er stadig aktiv i dag, men ikke i nærheden af ​​de tal, det var i sin storhedstid, i 2015.

---

Retadup

Retadup-malwaren og dens botnet blev først set i 2017. Det var en grundlæggende info-tyver-trojaner, der stjal forskellige typer data fra inficerede værter og sendte oplysningerne til en fjernserver.

Retadup-trojaneren gik under radaren det meste af sit liv indtil august da Avast og fransk politi greb ind for at fjerne botnettet og instruere malwaren til selv at slette fra alle inficerede værter.

Det var først da, at myndighederne erfarede, at Retadup havde været en ganske storstilet operation, der havde inficeret mere end 850.000 systemer over hele kloden, og primært i Latinamerika.

---

Smominru (Hexmen, MyKings)

Smominru - også sporet under navnene MyKings eller Hexmen - er nutidens største botnet udelukkende dedikeret til minedrift af kryptovaluta.

Det gør det på både desktop- og virksomhedsservere, som det normalt får adgang til ved at udnytte upatchede systemer.

Botnettet dukkede op i 2017, da det inficerede mere end 525.000 Windows-computere og udvundet Monero (XMR) til en værdi af mere end $2,3 millioner til sine operatører i de første måneder af livet.

På trods af et fald i cryptocurrency-handelspriserne er botnettet stadig aktivt i dag og inficerer omkring 4.700 nye enheder hver dag, ifølge en rapport offentliggjort i løbet af sommeren.

---

TrickBot

TrickBot fungerer på samme måde som Emotet. Det er en tidligere banktrojaner, der udviklede sig til en malware-dropper og indførte en betal-per-installation-ordning, og tjener nu de fleste af sine penge ved at installere andre kriminelle gruppers malware på de computere, de inficere.

Botnettet dukkede første gang op i 2016, og dets første versioner delte store bidder af kode med den nu hedengangne ​​Dyre banktrojan. Dengang foreslog sikkerhedsforskere rester af den originale Dyre-bande skabte TrickBot efter Russiske myndigheder slog ned på nogle af gruppens medlemmer tidligere samme år.

TrickBot fungerede dog ikke som en banktrojan i lang tid. Det ændrede sig langsomt til en malware-dropper i sommeren 2017, omtrent på samme tid som Emotet også lavede sin ændring.

Selvom der ikke er nogen beviser for, at de to botnets administreres af den samme besætning, er der et samarbejde mellem de to grupper. TrickBot-banden lejer ofte adgang til computere, der tidligere har været inficeret med Emotet, hvor de drop deres trojan, noget som Emotet-besætningen har tolereret, selvom TrickBot er en af ​​deres vigtigste konkurrenter.

Størrelsen af ​​TrickBot-botnettet har varieret gennem årene, fra 30.000 til 200.000, afhængig af kilden til rapporten og den synlighed, de har i malwarens infrastruktur.

---

WireX

WireX er et af de få glade tilfælde på denne liste. Det er et malware-botnet, der blev fjernet inden for en måned efter dets start, efter at flere sikkerhedsfirmaer og indholdsleveringsnetværk gik sammen om at nedbryde dets infrastruktur.

Botnettet blev bygget med WireX Android malware, som dukkede op ud af det blå i juli 2017 for at inficere mere end 120.000 smartphones inden for et par uger.

Mens de fleste Android-malware i dag bruges til adware og kliksvindel, var dette botnet ekstremt støjende, da det blev brugt til at starte kraftige DDoS-angreb.

Dette tiltrak sikkerhedsfirmaernes øjeblikkelige opmærksomhed, og i en koordineret indsats blev botnettets og malwares backend-infrastruktur fjernet i midten af ​​august samme år. Virksomheder som Akamai, Cloudflare, Flashpoint, Google, Oracle Dyn, RiskIQ, Team Cymru og et par andre, deltog i nedtagningen.

---

Nul adgang

ZeroAccess er et botnet, der blev bygget ved hjælp af ZeroAccess rootkit. Botnettets operatører brugte det til at tjene penge ved at downloade anden malware på inficerede værter eller ved at udføre kliksvindel på webannoncer.

Botnettet blev først opdaget i 2009 og blev lukket ned i 2013 efter en fjernelsesoperation koordineret af Microsoft.

Ifølge Sophos, inficerede botnettet mere end 9 millioner Windows-systemer i løbet af sin levetid, toppede med en million inficerede enheder på samme tid og hjalp operatører med at tjene omkring 100.000 USD om dagen.

En samling af ZeroAccess tekniske rapporter kan findes på Malpedia. Det her Symantec skrive-up er også ret komplet.