Noções básicas sobre botnets: Defender-se de 'redes de robôs'

Botnets estão entre as ferramentas de ataque mais poderosas no cenário de ameaças moderno. Os ataques de 2016 contra Dyn DNS e OVH foram massivos, tanto em volume de tráfego quanto em âmbito de interrupção. O mapa do Down Detector abaixo ilustra os efeitos generalizados do ataque Dyn DNS.

O que é uma botnet?

O termo 'botnet' é uma junção de 'robot' e 'network', descrevendo redes de computadores e outros dispositivos que foram sequestrados para uso por cibercriminosos. O bot, por vezes chamado de 'zombie', segue os comandos de um 'botmaster' ou 'bot herder'. O botmaster pode ser um indivíduo ou um grupo organizado, sendo geralmente o ator da ameaça que criou a botnet.

O sequestro de um dispositivo é um processo em várias etapas, começando com a distribuição de malware pela internet ou outra rede como uma empresa ou universidade. Os agentes de ameaça instalam o malware botnet explorando vulnerabilidades de software ou credenciais comprometidas. Há muita automação neste processo, porque se trata de um jogo de números. Se estás a construir uma botnet maliciosa, então queres o maior número de bots possível.

Uma vez infetados, os bots estabelecerão comunicação para se identificarem e receberem instruções. O que acontece aqui depende da arquitetura da botnet. Uma arquitetura centralizada utiliza um ou mais servidores de comando & controlo (C&C) para comunicar com todos os bots. Numa botnet centralizada, o novo dispositivo procurará o servidor C&C e ligará à botnet.

Numa rede descentralizada, todos os dispositivos têm instruções uns para os outros. Não existe um servidor C&C, pelo que o novo dispositivo tentará encontrar pares do botnet para obter instruções. Nesta arquitetura, cada dispositivo pode transmitir e receber instruções. Os botnets descentralizados têm maior probabilidade de sobreviver a defensores de cibersegurança e autoridades, porque não existe um único ponto de falha na rede. Mesmo que uma grande parte do botnet seja interrompida, o botnet pode continuar a funcionar encontrando rotas alternativas entre os pares restantes.

Existem também botnets híbridos que aproveitam ambas as arquiteturas, como a botnet GameOver Zeus (GOZ). Esta tinha uma estrutura de três camadas incluindo um servidor de comando, camada de proxy e uma botnet peer-to-peer. Esta botnet agora extinta supostamente era “impossível” de derrubar.

Os dispositivos mais frequentemente comprometidos são variações de routers sem fios e câmaras em rede, mas os dispositivos móveis também são um alvo atraente para os botmasters. A conectividade 5G permite que uma botnet de pequenos telefones realize ataques com a mesma intensidade que servidores poderosos.

O que os botnets podem fazer?

Os botnets podem ser usados numa ampla gama de ataques a indivíduos, empresas e infraestruturas críticas. Aqui estão alguns dos tipos mais comuns de ataques:

Negação de Serviço Distribuída (DDoS) – Este ataque utiliza milhares ou até milhões de dispositivos comprometidos para inundar simultaneamente o site ou servidor alvo com tráfego. O tráfego sobrecarrega a capacidade do alvo e torna-o inacessível para utilizadores legítimos. Mesmo grandes organizações com infraestrutura robusta podem ter dificuldades em resistir a um ataque suficientemente grande.

Campanhas de phishing e spam - Botnets podem distribuir biliões de mensagens de spam diariamente. Estas contêm links ou anexos maliciosos concebidos para roubar credenciais, instalar malware ou ambos. A automação e escalabilidade destas operações aumentam a probabilidade de sucesso.

Quebras financeiras e outros roubos de dados – Esta é uma aplicação lucrativa das capacidades de botnet. Botnets espalham malware que rouba credenciais bancárias, informações de cartões de crédito e outros dados financeiros ou sensíveis. SpyEye é um exemplo precoce:

"... os cibercriminosos usaram [SpyEye] para os seus próprios propósitos nefastos—infectando computadores das vítimas e criando botnets (exércitos de computadores sequestrados) que recolhiam grandes quantidades de informações financeiras e pessoais e as enviavam de volta para servidores sob o controlo dos criminosos. Eles eram então capazes de piratear contas bancárias, retirar fundos roubados, criar cartões de crédito falsos, etc."

Ataques de Apropriação de Conta (ATO) – As botnets automatizam ataques de força bruta e stuffing de credenciais contra um ou mais alvos, permitindo milhares de tentativas de login por hora. Uma botnet aumenta significativamente as chances de conseguir violar contas.

Criptomineração – Este malware usa o poder de processamento do dispositivo para minerar criptomoeda. Os agentes de ameaça geralmente visam redes empresariais ou incluem a função de criptomineração com outro malware.

Fraude de cliques – Os botmasters utilizam as suas redes para ganhar fraudulentamente receitas de serviços de publicidade. Existem diferentes tipos de fraude de cliques, mas um esquema típico envolve o ator da ameaça a configurar múltiplos sites fraudulentos para oferecer espaço publicitário a redes legítimas, como Google Ads. Quando os anúncios são colocados, os bots visitam os sites e clicam nos anúncios. O botmaster ganha uma comissão e o anunciante nunca obtém uma pista legítima. Um relatório divulgado pela Internet Advertising Revenue prevê que $172 mil milhões serão perdidos para fraudes de cliques todos os anos.

Botnet-como-um-Serviço (BaaS) – Tal como qualquer cibercrime-como-um-serviço, o BaaS é um modelo de negócio onde os botmasters alugam acesso à sua rede a outros atores maliciosos. Isto permite que outros criminosos usem uma botnet sem a necessidade de construir e manter as suas próprias redes. DDoS-como-um-Serviço é um desdobramento deste modelo.

Os seus dispositivos fazem parte de uma botnet?

Existem vários indicadores-chave de atividade de botnet. Estes são os mais visíveis para os utilizadores finais:

Desempenho do sistema - Atividade inexplicável elevada da CPU ou da ventoinha quando o dispositivo está inativo. Os computadores podem experienciar desempenho lento, tempos de desligamento longos ou a incapacidade de desligar corretamente.

Desempenho da rede – Tráfego excessivo na rede, transferências de dados inexplicáveis, ligações à internet lentas ou um aumento repentino e inexplicável no uso de dados móveis.

Atividade invulgar do navegador – Alterações inexplicáveis nas definições do navegador e pop-ups e anúncios inesperados. Incapacidade de atualizar programas antivírus.

Outra atividade do sistema - Comportamento incomum do sistema, como encerramentos inesperados ou mensagens de erro, incapacidade de atualizar o sistema operativo, entradas suspeitas nos registos do sistema do dispositivo e atividade do computador ou da rede em horários invulgares.

Essas atividades podem indicar uma infeção por malware que pode ou não ter sequestrado o seu dispositivo.

Proteja a sua empresa

Pode defender a sua empresa de botnets e melhorar a cibersegurança da empresa com estas práticas:

Segurança de Rede - Implementar firewalls de nível empresarial e sistemas de deteção de intrusões (IDS), Implementar arquitetura de confiança zero para acesso interno e externo, e aplicar segmentação de rede para limitar o movimento lateral dentro dos seus sistemas. O malware de botnet tentará mover-se lateralmente e infectar o maior número possível de dispositivos em rede. Realizar testes de vulnerabilidade regulares para identificar potenciais pontos de entrada para atacantes.

Gestão de patches - Mantenha todo o software, sistemas operativos e firmware atualizados. Implemente uma estratégia de gestão de patches documentada que priorize atualizações críticas e remova aplicações desatualizadas e dispositivos fora de suporte da rede.

Autenticação e Controlo de Acesso – Implemente a autenticação multifator (MFA) e palavras-passe complexas e únicas para todas as contas. Utilize o princípio do menor privilégio para controlar o acesso a dispositivos e outros ativos de rede.  

Tráfego de rede - Implementar sistemas de monitorização contínua para detetar anomalias e usar ferramentas de análise e aprendizagem automática (ML) para identificar padrões suspeitos. Configurar alertas para atividades invulgares, como picos em tentativas de login falhadas.

Proteger dispositivos - Instalar e manter soluções de endpoint em todos os dispositivos e isolar dispositivos IoT da infraestrutura de rede crítica sempre que possível. Garantir que todos os dispositivos, incluindo IoT, tenham credenciais únicas e configurações de segurança adequadas.

Estas medidas irão reforçar a sua rede e ajudar a defender contra ataques e infeções de botnets.

Barracuda pode ajudar

Barracuda Advanced Bot Protection é a ferramenta definitiva para combater bots de IA generativa. Ao fornecer mecanismos de defesa proativos, visibilidade aprimorada e controlos personalizáveis, capacita as empresas a protegerem o seu conteúdo, otimizarem os seus recursos e manterem a sua vantagem competitiva num mundo cada vez mais automatizado.