Un botnet è un insieme di dispositivi connessi a internet infettati da malware che permettono agli hacker di controllarli. I criminali informatici usano le botnet per istigare gli attacchi botnet, che includono attività dannose come la fuga di credenziali, l’accesso non autorizzato, il furto di dati e gli attacchi DDoS.
Come funziona un attacco botnet?
I proprietari di botnet possono avere accesso a diverse migliaia di computer alla volta e possono comandarli per svolgere attività dannose. I criminali informatici inizialmente ottengono l’accesso a questi dispositivi utilizzando speciali virus Trojan per attaccare i sistemi di sicurezza dei computer, prima di implementare il software di comando e controllo per consentire loro di svolgere attività dannose su larga scala. Queste attività possono essere automatizzate per incoraggiare il maggior numero possibile di attacchi simultanei. I diversi tipi di attacchi botnet possono includere:
- Attacchi DDoS (Distributed Denial of Service) che causano downtime non pianificati delle applicazioni
- Validazione di elenchi di credenziali trapelate (attacchi credential-stuffing) che portano all’acquisizione di account
- Attacchi alle applicazioni web per rubare dati
- Consentire ad un attaccante di accedere ad un dispositivo e alla sua connessione ad una rete
In altri casi, i criminali informatici venderanno l’accesso alla rete botnet, a volte conosciuta come una rete “zombie”, in modo che altri criminali informatici possano fare uso della rete per le proprie attività dannose, come l’attivazione di una campagna di spam.
Quanti bot sono in una botnet?
Il numero di bot varia da botnet a botnet e dipende dalla capacità del proprietario della botnet di infettare dispositivi non protetti. Per esempio:
- Un attacco DDoS nell’agosto 2017 contro un cliente Akamai è stato osservato provenire da una botnet che comprendeva più di 75.000 bot
- Un attacco di credential-stuffing nel dicembre 2016 ha utilizzato una botnet con quasi 13,000 membri per inviare quasi 270.000 richieste di login all’ora contro un certo numero di clienti Akamai
Gli effetti di un attacco botnet possono essere devastanti, dal rallentamento delle prestazioni del dispositivo a bollette Internet di grandi dimensioni e dati personali rubati. Ci sono anche implicazioni legali da considerare, per esempio, se il tuo computer è usato come parte di un attacco botnet, potresti essere legalmente responsabile delle conseguenze di qualsiasi attività malevola che ha avuto origine dal tuo dispositivo.
Il botnet Mirai
Quando il botnet Mirai è stato scoperto nel settembre 2016, Akamai è stato uno dei suoi primi obiettivi. La nostra piattaforma ha continuato a ricevere e a difendersi con successo dagli attacchi della botnet Mirai in seguito. La ricerca di Akamai offre una forte indicazione che Mirai, come molte altre botnet, sta contribuendo alla mercificazione del DDoS. Mentre molti dei nodi C&C della botnet sono stati osservati mentre conducevano “attacchi dedicati” contro IP selezionati, ancora di più sono stati notati come partecipanti a quello che sarebbe considerato un attacco “pay-for-play”. In queste situazioni, i nodi Mirai C&C sono stati osservati attaccare gli IP per una breve durata, andare inattivo, e poi riemergere per attaccare obiettivi diversi. Per saperne di più sulla botnet Mirai, clicca qui.
Il malware PBot
Il malware DDoS PBot è riemerso come base per i più forti attacchi DDoS visti da Akamai durante il secondo trimestre del 2017. Nel caso di PBot, gli attori maligni hanno utilizzato un codice PHP vecchio di decenni per generare un massiccio attacco DDoS. Gli attaccanti sono stati in grado di creare una mini-DDoS botnet in grado di lanciare un attacco DDoS da 75 gigabit al secondo (Gbps). È interessante notare che, anche se la botnet PBot era composta da 400 nodi relativamente piccoli, è stata in grado di generare un livello significativo di traffico di attacco. Per saperne di più sul malware PBot, clicca qui.
Come posso proteggermi da un attacco botnet?
È importante capire che una botnet è solo una collezione di dispositivi connessi a Internet sotto il comando e il controllo di un proprietario di botnet. Come tale, una botnet può essere utilizzata per lanciare diversi tipi di attacchi, ognuno dei quali può richiedere un diverso tipo di protezione. Akamai fornisce diverse soluzioni di sicurezza cloud per il rilevamento e la protezione contro le botnet. Queste includono:
- Soluzioni per mitigare gli attacchi DDoS – Scopri di più sulle soluzioni di mitigazione DDoS di Akamai qui
- L’unica soluzione cloud-native nominata Leader nel 2017 Gartner Magic Quadrant for Web Application Firewalls
- Soluzioni di gestione dei bot per proteggersi dagli attacchi di credenziali-e altre forme di frode web – Scopri di più sulle soluzioni di gestione dei bot di Akamai qui
Per saperne di più su quale soluzione di protezione dagli attacchi botnet è più appropriata per te e la tua azienda, contatta Akamai oggi stesso.