Inicialmente, trata-se apenas de criar uma rede zombie. Tal compreende o processo de infecção dos computadores com um programa chamado bot. Este programa malicioso reúne computadores comprometidos numa botnet. Se não tiver qualquer competência em programação, o criminoso tem disponível em fóruns bastantes bots à venda. E do mesmo modo pode encomendar ferramentas de ofuscação e encriptação para proteger esses programas contra anti-vírus. Outra opção será roubar uma botnet existente.
O passo seguinte consiste na infecção das máquinas dos utilizadores com o malware do bot. Tal é concretizado através da disseminação de spam em fóruns de utilizadores e redes sociais ou através de downloads drive-by. De modo alternativo, o próprio bot pode incluir funcionalidades de auto-replicação, como vírus e worms.
A engenharia social continua a ter um papel relevante neste processo. Por exemplo, os utilizadores podem ter como oferta um interessante vídeo que requer a descarga de um pretenso codec especial. O utilizador não verá o vídeo, nem notará diferenças na sua máquina, mas o computador estará infectado e tornar-se-á um servo obediente ao serviço do dono da botnet.
Outro método amplamente utilizado envolve a descarga encoberta de malware através da passagem por determinados sítios web, aproveitando normalmente as vulnerabilidades dos browsers. Tal consegue-se através dos programas designados de exploits. Quando o ataque do cibercriminoso é bem sucedido, o utilizador nem sequer suspeitará que algo está errado com o seu computador. Este método de distribuição de malware é particularmente perigoso, infectando dezenas de milhares de pessoas cada vez que um recurso web particular é comprometido.
Um bot pode incluir na sua concepção a funcionalidade de auto-propagação em redes informáticas, infectando todos os ficheiros executáveis que conseguir aceder ou pela procura de computadores vulneráveis à infecção numa rede.
O passo seguinte consiste na infecção das máquinas dos utilizadores com o malware do bot. Tal é concretizado através da disseminação de spam em fóruns de utilizadores e redes sociais ou através de downloads drive-by. De modo alternativo, o próprio bot pode incluir funcionalidades de auto-replicação, como vírus e worms.
A engenharia social continua a ter um papel relevante neste processo. Por exemplo, os utilizadores podem ter como oferta um interessante vídeo que requer a descarga de um pretenso codec especial. O utilizador não verá o vídeo, nem notará diferenças na sua máquina, mas o computador estará infectado e tornar-se-á um servo obediente ao serviço do dono da botnet.
Outro método amplamente utilizado envolve a descarga encoberta de malware através da passagem por determinados sítios web, aproveitando normalmente as vulnerabilidades dos browsers. Tal consegue-se através dos programas designados de exploits. Quando o ataque do cibercriminoso é bem sucedido, o utilizador nem sequer suspeitará que algo está errado com o seu computador. Este método de distribuição de malware é particularmente perigoso, infectando dezenas de milhares de pessoas cada vez que um recurso web particular é comprometido.
Um bot pode incluir na sua concepção a funcionalidade de auto-propagação em redes informáticas, infectando todos os ficheiros executáveis que conseguir aceder ou pela procura de computadores vulneráveis à infecção numa rede.
Pôr as Botnets a Render
As principais fontes de rendimento de uma botnet são ataques de DDoS, roubo de informação confidencial, spam, phishing, spam, fraudes de clique e distribuição de adware e programas maliciosos. Qualquer destas actividades pode proporcionar um bom rendimento ao cibercriminoso. Mas para quê escolher quando se pode ter todas ao mesmo tempo.
Ataques DDoS
Muitos investigadores acreditam que mesmo as primeiras botnets continham funcionalidades DDoS. Este tipo de ataque tem como objectivo forçar o sistema a negar o serviço, quando deixa de conseguir receber e processar pedidos de utilizadores legítimos. Um dos métodos de ataque mais comuns consiste em fazer um número tão grande de pedidos que o o computador infectado deixa de conseguir satisfazer todos os pedidos recebidos. Trata-se de uma arma importante para os hackers utilizarem tanto para competir ilegalmente, como para o ciberterrorismo - as botnets são a ferramenta ideal para levar a cabo estes ataques.
O dono de uma botnet pode vender serviços a qualquer empresário sem escrúpulos, organizando um ataque DDoS no website do seu concorrente. O próprio dono de uma botnet pode usar a ameaça deste tipo de ataques para extorquir dinheiro de grandes empresas, já que lidar com as consequências de um ataque real pode ficar ainda mais caro. Em Janeiro de 2009, um ataque ao fornecedor de alojamento web godaddy.com tornou inacessíveis vários milhares de sites empresariais durante quase 24 horas. Tanto uma jogada de concorrência ilegal como um caso de chantagem podem ter estado na origem do ataque. Já em Novembro de 2005 tinha acontecido um ataque semelhante, mas nessa altura o serviço ficou indisponível apenas uma hora. A escala do ataque mais recente deveu-se sobretudo ao grande crescimento das botnets.
Em Fevereiro de 2007, uma série de ataques atingiram os servidores de nomes root, de que depende toda a Internet para operar normalmente. Como as redes zombies precisam da Internet para operar, deve ter sido mais uma demonstração do poder do que uma tentativa de fazer crashar a Internet.
Vários fóruns publicitam abertamente a organização de ataques DDoS, cujo preço pode variar entre 50 e vários milhares de dólares para botnets que operem continuamente 24 horas neste tipo de ataque.
De acordo com o shadowserver.org, o ano de 2008 assistiu a cerca de 190 000 ataques DDoS que arrecadaram cerca de 20 milhões de dólares. Naturalmente, esta estimativa não inclui os rendimentos provenientes de chantagens.
Vários fóruns publicitam abertamente a organização de ataques DDoS, cujo preço pode variar entre 50 e vários milhares de dólares para botnets que operem continuamente 24 horas neste tipo de ataque.
De acordo com o shadowserver.org, o ano de 2008 assistiu a cerca de 190 000 ataques DDoS que arrecadaram cerca de 20 milhões de dólares. Naturalmente, esta estimativa não inclui os rendimentos provenientes de chantagens.
Roubo de Informação Confidencial
Os dados mais valiosos incluem números de cartão de crédito, informação financeira e passwords para vários serviços, como o email, ftp, sistemas de IM e outros. Os programas maliciosos actuais permitem que o cibercriminoso escolha o tipo de dados que pretende, instalando o respectivo módulo no computador infectado. Esta informação tanto pode ser vendida como directamente usada. O preço das centenas de contas bancárias à venda publicitadas nos fóruns underground pode variar entre 1 e 1500 dólares. O seu baixo preço revela a grande competição neste negócio. Para ter um rendimento compensador necessitam de um fluxo permanente de dados novos, que conseguem principalmente à custa do crescimento estável das redes zombie.
A informação financeira tem um particular interesse para falsificadores de cartões. Um grupo de cibercriminosos brasileiros apanhados há dois anos conseguiram levantar 4,74 milhões de dólares através de informação roubada em computadores.
Os cibercriminosos também se interessam pelos dados pessoais que não estão directamente relacionados com as finanças dos utilizadores para forjar documentos ilegais, abrir contas bancárias, conduzir transacções ilegais, entre outras operações maliciosas. O custo destes dados pessoais está directamente dependente do país de residência da vitima. Se para os residentes nos EUA um conjunto completo de dados custa 5 a 8 dólares, para os residentes na União Europeia o preço duplica ou triplica.
E depois existe também o mercado dos endereços de email e contas para serviços online pagos e lojas online.
A informação financeira tem um particular interesse para falsificadores de cartões. Um grupo de cibercriminosos brasileiros apanhados há dois anos conseguiram levantar 4,74 milhões de dólares através de informação roubada em computadores.
Os cibercriminosos também se interessam pelos dados pessoais que não estão directamente relacionados com as finanças dos utilizadores para forjar documentos ilegais, abrir contas bancárias, conduzir transacções ilegais, entre outras operações maliciosas. O custo destes dados pessoais está directamente dependente do país de residência da vitima. Se para os residentes nos EUA um conjunto completo de dados custa 5 a 8 dólares, para os residentes na União Europeia o preço duplica ou triplica.
E depois existe também o mercado dos endereços de email e contas para serviços online pagos e lojas online.
Phishing
Os novos sites de phishing são agora produzidos em massa, mas também necessitam de se proteger. As redes zombie fornecem a implementação de tecnologia de Fast Flux, que permite aos cibercriminosos mudar o endereço IP em poucos minutos sem afectarem o nome de domínio. Tal permite prolongar a vida dos sites de phishing, ao tornar muito complicado a sua detecção e consequente eliminação. A utilização dos computadores domésticos com tecnologia Fast Flux supera a utilização de servidores proxy para esconder sites falsos naweb. Os phishers pagam aos donos de uma botnet entre 1000 e 2000 dólares por mês para alojarem serviços de Fast Flux.
Spam
O envio de mail não solicitado é uma das grandes tarefas das botnets actuais. A Kasperesky Lab calcula que cerca de 80 porcento de todo o spam é enviado através de redes zombies. Mais recentemente o spam passou a abranger o ICQ, as redes sociais, fóruns de utilizadores e weblogs.Os preços do spam variam conforme o público-alvo e o número de endereços – entre 70 dólares para alguns milhares de endereços até 1000 dólares para dezenas de milhões de endereços. No ano passado, os spamers conseguiram 780 milhões de dólares a enviar publicidade que ninguém queria.
Spam para Motores de Busca
Os webmasters utilizam as técnicas de optimização para motores de busca de modo a melhorarem a classificação dos seus sites nos resultados das buscas. Os motores de busca utilizam vários critérios para calcular a relevância de um site. Um dos principais parâmetros é o número de links de outros sites para o site em questão. As palavras usadas no link também afectam a classificação do site.
Já é familiar ver links em comentários de anónimos ou até mesmo de amigos em weblogs populares. O mais provável é que alguém tenha contratado os donos de uma botnet para promover recursos web. O preço médio para spam ilegal de optimização do ranking dos sites ronda os 300 euros mensais.
Já é familiar ver links em comentários de anónimos ou até mesmo de amigos em weblogs populares. O mais provável é que alguém tenha contratado os donos de uma botnet para promover recursos web. O preço médio para spam ilegal de optimização do ranking dos sites ronda os 300 euros mensais.
Instalação de Adware e malware
Muitas das empresas que oferecem serviços de publicidade online pagam por cada instalação do seu software. Por norma, tal não constitui muito dinheiro – de 0,30 a 1,50 dólares para cada programa instalado. O conhecido cibercriminoso J.K. Shiefer, condenado em 2007, ganhou mais de 14 000 dólares em apenas um mês ao instalar adware em 10 000 computadores através de uma botnet de mais de 250 000 máquinas.
Os cibercriminosos que distribuem programas maliciosos usam frequentemente o mesmo esquema para instalar o seu malware. A discrepância de preços para utilizadores infectados em diferentes países é evidente – o preço médio para instalação de programas maliciosos em mil computadores na China é 3 dólares e nos EUA é 120 dólares.
Fraude de Cliques
Os donos de uma botnet também podem fazer bastante dinheiro à custa das agências de publicidade online, como a Google, que usam o método Pay-Per-Click.
Segundo a Click Forensics, entre 16 e 17 porcento de todos cliques em links de publicidade foram falsos, sendo um terço deste valor gerado por botnets. Um cálculo simples mostra que os donos das botnets fizeram mais 33 milhões de dólares em cliques.
Os cibercriminosos que distribuem programas maliciosos usam frequentemente o mesmo esquema para instalar o seu malware. A discrepância de preços para utilizadores infectados em diferentes países é evidente – o preço médio para instalação de programas maliciosos em mil computadores na China é 3 dólares e nos EUA é 120 dólares.
Fraude de Cliques
Os donos de uma botnet também podem fazer bastante dinheiro à custa das agências de publicidade online, como a Google, que usam o método Pay-Per-Click.
Segundo a Click Forensics, entre 16 e 17 porcento de todos cliques em links de publicidade foram falsos, sendo um terço deste valor gerado por botnets. Um cálculo simples mostra que os donos das botnets fizeram mais 33 milhões de dólares em cliques.
Aluguer e Venda de Botnets
A manutenção de uma botnet de modo a assegurar um fluxo de novos zombies, a protecção dos bots da detecção de anti-vírus e a protecção dos centros de controlo e comando requerem um investimento financeiro e de tempo apreciável por parte do hacker. Por isso torna-se mais fácil alugar ou vender a botnet. O aluguer de uma botnet para mail que possa enviar 1000 mensagens por minuto com 100 máquinas zombie a trabalhar online, consegue 2000 dólares por mês. No caso do aluguer, o preço de botnets prontas a usar depende do número de computadores infectados. Pequenas botnets com algumas centenas de bots custam entre 200 e 700 dólares, com um preço médio de 0,50 dólares por bot. Grandes botnets custam muito mais. A botnet Shadow com mais de 100 000 computadores, criada por um hacker holandês de 19 anos, foi posta à venda por 36 000 dólares.
{mosgoogle}