34985903613
Blog AVG Signal Protezione Minacce Che cos'è una botnet e come proteggere il computer?
What_is_a_Botnet-Hero

Scritto da Joseph Regan
Pubblicato il giorno May 29, 2018

E tutte queste cose, così come altri attacchi, sarebbero quasi impossibili se non fosse per uno degli strumenti più pericolosi e comuni nel toolkit degli hacker: la botnet.

Questo articolo contiene:

    Che cos'è una botnet?

    Fondamentalmente, una botnet è una rete di computer infetti che, sotto il comando di un singolo computer master, lavorano insieme per raggiungere un obiettivo. Potrebbe sembrare un sistema semplice, quasi innocuo, ma, come accennato nel paragrafo precedente, è la tecnica che sta dietro ad alcuni dei peggiori attacchi che gli hacker possono tentare di mettere in atto.

    Una botnet si basa su due elementi. Innanzitutto, è necessaria una vasta rete di dispositivi infetti, denominati "zombie", che si occupano del lavoro pesante e ripetitivo per qualsiasi piano sia stato studiato dall'hacker. In secondo luogo, occorre qualcuno che richieda loro di fare qualcosa, spesso chiamato Centro di comando e controllo o "bot herder" (anche se forse negromante sarebbe più appropriato). Una volta predisposti questi elementi, una botnet è pronta per provocare disastri.

    Nella loro forma più elementare, le botnet sono costituite da vaste reti di computer "zombie" che obbediscono a un computer master

    Il termine "botnet", contrazione di "bot" e "network", è stato coniato per la prima volta nel 2001 da EarthLink Inc. durante una causa contro Khan C. Smith, un uomo del Tennessee che è riuscito a intascare 3 milioni di dollari gestendo quella che, all'epoca, era la più grande rete di spam mai scoperta. Il piano non ha avuto l'esito sperato per il signor Smith, che ha perso la causa e ha dovuto pagare 25 milioni di dollari a EarthLink, con una perdita netta di 22 milioni di dollari. Non è stata esattamente una geniale operazione di business, ma ha comunque mostrato a tutto il mondo quanto poteva essere pericolosa questa strana tecnologia.

    Poiché le botnet sono così ampie, ci sono due modi in cui è possibile restarne vittima: puoi subire un attacco basato su una botnet o i tuoi dispositivi potrebbero entrare a far parte di una di queste reti utilizzate dagli hacker in tutto il mondo. Lo vedremo più avanti, ma per il momento...

    Come funzionano le botnet? Due modelli, un solo obiettivo

    I dettagli tecnici sul funzionamento delle botnet sono un po' troppo complessi anche per un articolo su questo argomento, ma fortunatamente non sono così importanti. Comprendere anche solo a grandi linee questa particolare minaccia dovrebbe essere sufficiente per avere un'idea dell'ordine di grandezza e del rischio che rappresentano le botnet per tutti gli utenti di Internet.

    C'è un motivo se per qualcuno saper far interagire i computer tra loro diventa un lavoro: stabilire come configurare in modo efficiente una rete è importante quanto gestirla effettivamente. A tale scopo, esistono due modi principali per configurare le botnet: il modello client/server e il modello peer-to-peer.

    Il modello client/server

    Diagramma di un modello di botnet client/server

    Il modello client/server è il sistema della vecchia scuola, in cui gli "zombie" ricevevano le istruzioni da una singola posizione, in genere un sito Web o un server condiviso. Se nei primi tempi era sufficiente, significava anche che disattivare una botnet era davvero facile: bastava rendere non disponibile il sito Web o il server e l'intero sistema sarebbe crollato.

    Il modello peer-to-peer

    Diagramma di un modello di botnet peer-to-peer

    Il modello peer-to-peer corregge il tallone di Achille del modello client/server. In questo sistema, ogni computer infetto comunica direttamente con pochi altri sulla rete, che a loro volta sono connessi a pochi altri, e così via fino a mettere insieme l'intero sistema. In questo modo, la rimozione di uno o due dispositivi non è un problema, perché il loro posto verrà preso da altri.

    In entrambi i casi, assicurarsi che solo il proprietario del centro di comando e controllo possa... comandare e controllare la rete è di fondamentale importanza. Per questo motivo vengono utilizzate firme digitali (una sorta di codice speciale) per garantire che solo i comandi emessi dall'hacker - o da chiunque abbia acquistato la botnet dall'hacker - vengano distribuiti nell'intera rete.

    Diffondere l'infezione: come vengono create le botnet

    Dopo aver configurato una rete, è necessario indurre dei dispositivi a "unirsi" effettivamente ad essa. Questa operazione viene eseguita usando un mezzo che forse ti sarà familiare: un trojan.

    Un trojan è qualsiasi software dannoso che tenta di penetrare in un computer fingendo di essere innocuo... proprio come il leggendario cavallo di legno. I trojan sono noti soprattutto perché vengono trasmessi tramite email di phishing, ma sono anche presenti in software pirata e talvolta nel payload di attacchi malvertizing. Tuttavia, per i nostri scopi, ciò che conta non è tanto come gli hacker infiltrano un trojan nel tuo PC, ma piuttosto quello che fa una volta che lo ha raggiunto.

    Le botnet sono basate principalmente su attacchi trojan

    Quando il trojan è sul computer, apre una "backdoor" che permette all'hacker di accedere e controllare alcuni aspetti del PC o altri dispositivi connessi. In genere, i trojan consentono agli hacker di eseguire solo operazioni limitate, ma comunque sufficienti per causare problemi seri, come ad esempio gestire efficacemente una botnet. La buona notizia è che i trojan in genere non si autopropagano o tentano di diffondersi (anche se ci sono botnet che costituiscono eccezioni a questa regola). Il rovescio della medaglia è che un trojan può rimanere "dormiente", e quindi passare inosservato, finché l'hacker non sceglie di usarlo.

    Quando abbastanza computer dispongono di queste backdoor, l'hacker li combina in una rete per creare una botnet.

    Cosa si può fare con una botnet?

    Per quanto possa essere complessa, una botnet in realtà permette agli hacker di fare solo due cose: inviare messaggi velocemente o far eseguire a tutti i computer la stessa operazione contemporaneamente. Tuttavia, anche il più semplice strumento può essere pericoloso se viene usato in modo abbastanza creativo e gli hacker sono riusciti a utilizzare le botnet per fare cose piuttosto sorprendenti, anche se spaventose.

    Invio di spam

    Come abbiamo accennato in precedenza, le prime botnet sono state progettate per facilitare gli attacchi di phishing e spam. Non è molto difficile creare un messaggio di spam e inviarlo a tutto il proprio elenco di contatti, ma probabilmente non avrà grande successo e l'unico risultato che riuscirai davvero a ottenere sarà quello di infastidire un po' la nonna. È molto meglio avere milioni di computer che inviano il maggior numero di spam possibile a tutte le caselle postali che riescono a raggiungere, in modo che lo spam possa diffondersi velocemente, colpendo quante più persone possibile. Sfortunatamente, questo è proprio ciò che può fare una botnet. Lo stesso principio di base si applica al phishing, a meno che non si tratti di spear phishing. In questo caso, una botnet non è particolarmente utile.

    Milioni di malware

    Se avessi passato anni a versare sudore e lacrime per creare il virus perfetto, ti accontenteresti di inviarlo soltanto a un paio di persone? No. Vorrai condividere il tuo capolavoro con tutto il mondo! Nello stesso modo in cui lo spam punta a raggiungere il maggior numero possibile di persone, il malware dà il "meglio" di sé quando colpisce le persone velocemente e duramente.

    Il malware non ha una lunga vita: in genere una singola variante resta in circolazione per circa un'ora prima che i software antivirus aggiornino le definizioni dei virus e la rendano obsoleta. Quindi, per avere successo, un malware deve cercare di infettare velocemente quanti più computer, telefoni o altri dispositivi connessi possibile e quindi rintanarsi per evitare le scansioni antivirus o eseguire qualsiasi operazione dannosa per cui è stato progettato, prima di essere intercettato e inviato al Cestino dei virus.

    Le botnet consentono ai virus di raggiungere il maggior numero possibile di persone in questo breve lasso di tempo, in particolare se si sta tentando di infettare i dispositivi tramite email o una rete aperta.

    Accesso negato: attacchi DDoS

    Hai mai provato ad accedere a un sito Web solo per scoprire che non riesci a stabilire la connessione? Oppure, quando è raggiungibile, è così lento che è fondamentalmente inutilizzabile? Spesso la causa è un attacco DDoS, un argomento che meriterebbe un articolo a parte. In poche parole, durante un attacco DDoS un numero molto elevato di "zombie" si connette nello stesso momento a un sito Web, in modo da rallentarlo e renderlo inutilizzabile per chiunque tenti di accedervi.

    Gli hacker possono sferrare un attacco DDoS contro un sito per svariati motivi, anche se, dal momento che non c'è alcun guadagno finanziario nel condurre un attacco di questo genere (se non a scopo di estorsione, ma questa tecnica non ha quasi mai successo), generalmente questi attacchi vengono eseguiti come forma di protesta o come attività di disturbo. Ovviamente, qualunque sia il motivo dell'attacco, è necessario un enorme numero di computer che cerchino di raggiungere contemporaneamente lo stesso sito per metterlo fuori servizio, ed è qui che entra in gioco la botnet.

    Passaggio di password

    Hackerare l'account di un'altra persona raramente è una questione di eleganza. Supponendo che la vittima non ripeta una password nota o utilizzi una delle 100 password più comuni, gli hacker che tentano di violare l'account impiegheranno una tecnica denominata "attacco di forza bruta".

    Senza entrare troppo in dettaglio, un attacco di forza bruta consiste nel provare ogni combinazione possibile di parole, frasi, lettere e caratteri speciali, finché non si riesce a individuare la password corretta in modo casuale. Quando si utilizzano specifiche parole e varianti di parole, è chiamato più specificamente "attacco con dizionario". Questi attacchi sono, senza dubbio, la forma più comune di hacking delle password.

    Il problema per gli hacker è che la maggior parte dei siti Web consente a un singolo computer o indirizzo IP di eseguire solo un certo numero di tentativi di accesso all'account prima di bloccarlo, e può essere difficile decodificare una password tramite forza bruta se si hanno solo cinque possibilità. Ecco dove può tornare utile una botnet: basta che ogni computer si connetta al sistema ed effettui quanti più tentativi possibile finché non viene bloccato. Con un numero sufficiente di computer e abbastanza tempo, praticamente qualsiasi password può essere violata.

    Se la tua password è stata rubata ed è disponibile nella Darknet, le cose sono ancora più facili per gli hacker. Anche se quasi tutte le password rubate da siti Web e organizzazioni sono criptate, gli hacker possono comunque utilizzare i metodi di forza bruta per decodificarle, senza doversi preoccupare di essere esclusi dal sistema.

    Utilizzando uno speciale software chiamato password cracker, provano ogni possibile combinazione di caratteri e lettere ed eseguono lo stesso processo di criptaggio utilizzato nel database violato, in modo da scoprire il significato di ogni riga criptata. Suddividendo l'attività in modo che ogni computer provi diverse parole e combinazioni, è possibile violare una password mediamente sicura in pochi minuti.

    La buona notizia è che se si usa una password davvero sicura (il che non è così difficile o spaventoso come si potrebbe pensare) possono occorrere milioni di anni per un attacco di forza bruta, anche con una botnet. Abbiamo un intero articolo su come creare password complesse.

    Mining di criptovalute 24 ore su 24

    Le botnet non devono necessariamente essere utilizzate per attaccare le persone. Una tendenza crescente tra gli hacker è quella di organizzare botnet al solo scopo di avere "zombie" che eseguono il mining di bitcoin o altre valute online per loro conto. Il malware in questione è denominato miner di criptovalute e, anche se effettivamente non colpisce nessuno, ci sono comunque delle vittime: i proprietari dei PC che eseguono il mining, che vedranno i propri computer rallentare immensamente. Questo malware comporta anche un aumento delle bollette per l'energia elettrica e contribuisce all'usura complessiva di un computer.

    E quando diciamo che è una tendenza "crescente", non scherziamo. Solo l'anno scorso, sono stati violati 1.650.000 computer per eseguire il mining di criptovalute per gli hacker, e questo dato è in continuo aumento: di fatto, il "crypto-jacking" è cresciuto di uno sbalorditivo 8500% rispetto al 2017. La sua popolarità può essere attribuita alla bassa barriera di ingresso e al fatto che è relativamente innocuo: la maggior parte delle persone tende a ignorare occasionali situazioni di lentezza del computer, quindi questi virus possono passare inosservati per mesi.

    Gli effetti dell'inclusione in una botnet: 5 motivi per cui non vuoi essere uno zombie

    Nel caso non fosse evidente dal nome colloquiale, sicuramente non è l'ideale avere un computer incatenato alla volontà di uno sconosciuto malintenzionato.

    Benvenuto nella corsia lenta

    I computer non sono magici. È una notizia da prima pagina. E se il computer è occupato a fare una cosa, non avrà la potenza di elaborazione necessaria per farne altre. Se stai cercando di guardare un film in streaming e ti rendi conto che viene riprodotto lentamente, normalmente puoi migliorare la velocità e la qualità chiudendo altri programmi in esecuzione contemporaneamente. Semplice e facile.

    Una botnet ruba le risorse del computer per i propri fini e potrebbe rallentare il sistema

    Il problema è che, quando il tuo computer è uno zombie, non sei più tu il suo padrone: se la persona che lo controlla decide che il tuo computer deve inviare la maggior quantità di spam possibile, non sarai in grado di fermarlo. Molto probabilmente non te ne renderai nemmeno conto, a parte il fatto che il computer ora è molto più lento. Questo è il primo problema (e il segno più ovvio) di un'infezione causata da una botnet: sottrae le risorse del computer quando cerchi di eseguire altre attività, auspicabilmente meno illegali.

    Questo processo viene denominato "scrumping". Originariamente il termine si riferiva al furto delle mele rimanenti dagli alberi di qualcun altro dopo la raccolta, ma oggi il significato purtroppo è cambiato.

    Un caso di identità rubata

    Quando si tratta di inviare spam, gli hacker prendono sempre di mira quante più persone possibile: oltre a raggiungere completi estranei, coglieranno l'opportunità di utilizzare il tuo account email per inviare a tutti i tuoi contatti il loro dannoso e fastidioso spam, di solito approfittando del fatto che un account personale elude gli anti-spam. Questo può essere un segno abbastanza evidente del fatto che fai parte di una rete, ma a volte viene frainteso (non a torto) pensando che sia l'account a essere stato violato, non il PC. Fortunatamente, ci sono altri indizi che puoi cercare per stabilire qual è il vero problema.

    Bollette elettriche insolitamente alte

    Tutti abbiamo bollette da pagare e se sei il capofamiglia hai un motivo in più per tenere il tuo PC fuori da una botnet: la bolletta elettrica. Quando il bot herder ha bisogno della propria orda di zombie per qualsiasi scopo, non importa se un computer è spento: lo riaccenderà per usarlo nella propria campagna. È sicuramente fastidioso, ma se non altro è un segno molto chiaro del fatto che un PC è stato compromesso. C'è solo un problema...

    Più disarmante del trattato di Versailles

    Quando il tuo computer fa parte di una botnet, l'hacker certo non vuole che la lasci. In genere, lo stesso malware che ti ha portato nella botnet ti impedirà anche di scaricare o eseguire un antivirus. Questo non solo ti impedisce di sbarazzarti del malware, ma ti rende anche vulnerabile ad altri malware, altrettanto pericolosi, presenti su Internet.

    Non è difficile capire il motivo per cui sarebbe indesiderabile.

    Diventare un bersaglio facile

    Per gli hacker l'efficienza è tutto, quindi non pensare che, solo perché stai tecnicamente lavorando per loro, sei protetto dai loro piani. Ti manderanno gli stessi spam, adware e popup che inviano a tutti gli altri, non solo perché sei una buona fonte di entrate, ma anche perché sanno che non sei nemmeno lontanamente protetto quanto gli altri. Si possono accusare gli hacker di molte cose, ma sicuramente non di sprecare le risorse.

    I più grandi successi

    Ci sono stati parecchi esempi celebri di questi bot fastidiosi nella breve storia di Internet. Vediamone alcuni:

    GAmeover ZeuS - ancora peggio dell'ortografia del nome

    Per qualche motivo gli hacker e l'inglese corretto non vanno molto

    d'accordo. GAmeover ZeuS era una botnet peer-to-peer progettata dopo un precedente malware chiamato ZeuS Trojan. Come il suo progenitore, è riuscita a infettare più di 3,6 milioni di dispositivi ed è stata oggetto di un'indagine internazionale da parte dell'FBI, che ha portato all'arresto di oltre 100 persone in tutto il mondo. Purtroppo, questo sistema usava una speciale rete criptata che ha reso quasi impossibile per le forze dell'ordine rintracciare la botnet basata su Windows e ha scatenato il caos come canale di distribuzione principale per il ransomware CryptoLocker e una serie di truffe bancarie.

    La botnet GAmeover ZeuS

    Nel 2014 l'operazione Tovar, una collaborazione internazionale di funzionari delle forze dell'ordine di tutto il mondo, è riuscita a disturbare il malware, impedendo agli hacker di comunicare con il bot herder per due settimane. Quando gli hacker hanno tentato di creare una copia del database, questa è stata intercettata nel corso della stessa operazione e all'interno del database è stato scoperto il codice di decriptaggio per il ransomware CryptoLocker, che ha contribuito a neutralizzarlo. È stato anche scoperto il capofila dell'operazione: il presunto criminale informatico russo Evgeniy Mikhailovich Bogachev.

    L'anno successivo, l'FBI ha offerto un premio di 3 milioni di dollari a chiunque potesse contribuire a trovarlo e arrestarlo. Per il resto, la partita era finita per GAmeover. Eppure, i criminali sono riusciti a ottenere ciò che volevano: circa 1,3% degli utenti infettati da CryptoLocker ha pagato il riscatto, il che significa che i criminali si sono intascati una cifra pari a 3 milioni di dollari.

    A causa di questo successo, varianti del malware originale GAmeover ZeuS sono ancora in circolazione... in attesa di colpire...

    Mirai - il futuro delle botnet

    Capisci che ti aspetta qualcosa di speciale quando il tuo malware prende il nome da un anime del 2011 su dei bambini che usano diari in grado di viaggiare nel tempo per cercare di uccidersi a vicenda e assumere il ruolo di una divinità.

    Scoperta nel 2016 dagli hacker white hat di MalwareMustDie, Mirai è una botnet progettata per colpire in particolare i sistemi Linux ed è stata utilizzata per orchestrare alcuni dei più grandi attacchi DDoS dell'ultimo decennio. Ciò che rendeva Mirai tanto speciale era l'aggressività con cui si diffondeva: una volta presente in un dispositivo, eseguiva costantemente la scansione alla ricerca di altri dispositivi IoT connessi alla stessa rete. Quando ne trovava uno, utilizzava un database interno di nomi utente e password predefiniti per tentare di penetrare in ogni dispositivo. Se ci riusciva, lo infettava e iniziava a cercare nuove vittime.

    Mirai ha attaccato GitHub, Twitter, Reddit, Netflix, Airbnb e l'infrastruttura Internet della Liberia

    Al suo apice, la botnet è stata utilizzata in moltissimi attacchi DDoS, troppi per illustrarli in dettaglio in questo articolo. L'elenco delle vittime comunque include GitHub, Twitter, Reddit, Netflix, Airbnb, la Rutgers University e l'intera infrastruttura Internet della Liberia. Tuttavia, una volta che è stato scoperto e analizzato dagli esperti di MalwareMustDie, non è passato molto tempo prima che i dispositivi venissero aggiornati e il malware reso obsoleto. Eppure, la botnet è stata in funzione per quasi due anni prima di essere fermata, cosa che la rende una delle botnet di maggior successo al mondo.

    Nonostante la sua portata e aggressività, si potrebbe sostenere che Mirai è stata una delle botnet meno dannose che abbiamo visto. Non solo evitava specificamente di infettare alcuni dispositivi (come quelli di proprietà delle forze armate o degli uffici postali), ma eliminava qualsiasi malware già presente nel sistema e impediva future infezioni. Ha anche usato i dispositivi sotto controllo solo per l'attacco DDoS occasionale: per quanto ne sappiamo, non ha mai cercato di causare altri danni ai dispositivi che controllava, il che probabilmente spiega perché questa botnet è riuscita a passare inosservata per così tanto tempo.

    Vale la pena di notare che tutti e tre i presunti autori, Paras Jha, Josiah White e Dalton Norman, sono stati dichiarati colpevoli dell'accusa di aver creato il malware. E così alla fine i cattivi sono stati catturati.

    ... una curiosità: lavoravano sotto lo pseudonimo di Anna-senpai, che prende il nome da Anna Nishikinomiya, un personaggio di un anime del 2015 dedicato a una ragazza adolescente che indossa mutandine sulla testa e distribuisce opuscoli pornografici come atti di terrorismo in un mondo in cui i pensieri sessuali sono illegali.

    Il mondo degli anime è piuttosto bizzarro.

    ZeroAccess - un brutto nome per un brutto malware

    Nonostante il nome, la botnet ZeroAccess non ha partecipato ad alcun attacco DDoS, a ulteriore dimostrazione del fatto che gli hacker avrebbero davvero bisogno di un copywriter al momento di scegliere i nomi.

    Ma se la validità del nome potrebbe essere oggetto di discussione, l'efficacia e la pericolosità della botnet erano indiscutibili. Il rootkit ZeroAccess, che è stato il metodo principale utilizzato per forzare i computer Windows a unirsi alla botnet, si è diffuso aggressivamente tramite attacchi di social engineering e adware, riuscendo a infettare circa 9 milioni di dispositivi. La botnet stessa era ospitata in uno o due milioni di computer: un numero gestibile con circa 8 milioni di macchine a disposizione per qualsiasi evenienza.

    Secondo le stime, i creatori della botnet ZeroAccess potrebbero aver guadagnato fino a 38 milioni di dollari

    Una volta nella botnet, le macchine infette entravano a far parte di un massiccio piano per la generazione di denaro: ogni dispositivo iniziava a eseguire il mining di bitcoin e ogni annuncio online veniva "sostituito" da uno fornito dal malware, che generava denaro per gli hacker invece che per il sito Web che lo ospitava. Queste due attività si sono rivelate enormemente redditizie per gli hacker e, anche se è difficile conoscere la cifra esatta, si stima che potrebbero aver guadagnato fino a 38 milioni di dollari all'anno, anche se la cifra reale probabilmente è considerevolmente più bassa.

    Computer in una botnet che eseguono il mining di bitcoin

    Nel dicembre 2013 una coalizione guidata da Microsoft ha tentato di distruggere la rete e per un certo periodo ha avuto successo. Ma l'impossibilità di sequestrare tutti i centri di comando e controllo significava che la rete poteva essere ricostruita, e infatti così è stato... La sua scoperta ha comunque permesso ai produttori di antivirus di iniziare a fornire una protezione dal rootkit. Sebbene esista ancora, il suo ambito e la sua pericolosità si sono significativamente ridotti.

    Tutto sommato penso che, per certi versi, il nome sia appropriato... ora il malware non ha più accesso ai computer protetti. Oho! Ironia della sorte!

    Backdoor.Flashback - nessuno è sicuro

    Se, compiaciuto del tuo MacBook, ridevi di tutti i malware che infettano i dispositivi Windows e Linux, è ora di smettere di ostentare superiorità. Il trojan Backdoor.Flashback ha colpito oltre 600.000 Mac nel 2011 e 2012, causando un sacco di problemi a persone che erano spesso impreparate ad affrontare il fatto che il loro dispositivo non fosse del tutto immune agli attacchi. Non farti cogliere impreparato: consulta la nostra guida completa alla protezione del Mac.

    Sfruttando una vulnerabilità Java, il trojan infettava la macchina e quindi la reindirizzava a un sito contraffatto, da cui veniva scaricato del malware che trasformava il Mac in uno zombie obbediente, oltre ad altri problematici malware per rubare i dati personali e rallentare il computer.

    ... detto questo, per quanto ne sappiamo, la botnet non ha fatto nulla. Gli altri malware scaricati senza dubbio hanno causato problemi, ma, anche se Backdoor.Flashback ha creato una rete peer-to-peer, i creatori non hanno ordinato alla botnet di eseguire alcuna attività, a parte cercare di diffondersi. Ed è stata in grado di operare impunemente per circa un anno prima di essere rilevata da Dr. Web e corretta all'inizio del 2012.

    È probabile che 600.000 computer non fossero sufficienti per utilizzare efficacemente la botnet e che gli hacker stessero aspettando di aver raggiunto un numero superiore prima di attaccare e rivelare la propria esistenza. Ma queste sono solo speculazioni: a differenza della maggior parte dei malware in questa lista, Backdoor.Flashback è veramente morto e non lo rivedremo mai più... molto probabilmente.

    Sbarazzarsi delle botnet

    Come ogni boss di fine livello dei videogiochi, più qualcosa è grande, più punti deboli ha, e lo stesso vale per le botnet. Ma mentre le procedure da eseguire a livello personale per restare al sicuro da una botnet (evitando di entrare a farne parte o di restarne vittima) sono abbastanza semplici, le misure che devono prendere le grandi organizzazioni e i governi per contrastare le botnet nel complesso rappresentano un problema molto più grave.

    Tu e le botnet - come evitare di unirsi a una botnet

    Anche se sono molto più complesse e con un ambito più grande, il modo per proteggersi dalle botnet è lo stesso utilizzato per la protezione da qualsiasi altro malware:

    • Non scaricare file da siti inaffidabili.

    • Non fare clic su annunci online.

    • Non lasciarti ingannare dalle email di phishing.

    • Installa sul computer un antivirus potente, come AVG AntiVirus FREE.

    Questi semplici accorgimenti sono sufficienti per evitare di entrare a far parte di una botnet o di restare vittima di un attacco basato su una di queste reti.

    E così il tuo PC fa parte di una botnet

    Le cose, tuttavia, si fanno un po' più complicate se commetti l'errore di entrare a far parte di una botnet, perché il tipico trojan o rootkit è estremamente bravo a non farsi rilevare dal software antivirus. Se il PC inizia a mostrare tutti i sintomi di un'infezione causata da una botnet, ma l'antivirus non rileva nulla (o semplicemente non è in esecuzione), hai due possibilità:

    • Ripristino delle impostazioni predefinite: esegui il ripristino del computer alle impostazioni predefinite. In questo modo, ti libererai del problema, ma verranno eliminati tutti i file e le applicazioni sul computer.

    • Scansione all'avvio: le scansioni in fase di avvio rilevano il malware radicato profondamente nel sistema eseguendo la scansione prima dell'avvio del sistema operativo, impedendo così al malware di eludere il rilevamento.

    Ovviamente quest'ultimo metodo è preferibile e con la scansione in fase di avvio di AVG non dovrebbe essere necessario eseguire il ripristino.

    Detto questo, non devi preoccuparti troppo. In media un'infezione causata da una botnet ha una vita molto breve, con il 58% di infezioni che durano meno di un giorno e solo lo 0,9% con una durata di oltre una settimana. Quindi, non c'è bisogno di strapparsi i capelli per la disperazione.

    E così il tuo (qualsiasi altro dispositivo) fa parte di una botnet

    C'è un altro problema, però, se uno dei tuoi dispositivi IoT è infetto, dato che al momento non sono disponibili molti antivirus per i frigoriferi. In ogni caso, una volta che hai stabilito che un dispositivo è infetto - e la lentezza è spesso l'unico indizio - c'è una soluzione abbastanza semplice. È sufficiente riavviare il dispositivo, quindi modificare rapidamente la password. Ogni volta che il sistema viene spento, il malware deve "infettarlo di nuovo", quindi modificando le credenziali di accesso abbastanza rapidamente puoi escluderlo dal sistema.

    Purtroppo questo metodo non è d'aiuto con l'ultima minaccia malware: Hide n' Seek. Dovremo tornare su questo argomento più avanti.

    E così la tua piccola impresa è vittima di un attacco DDoS da parte di una botnet

    Se sei il proprietario di una piccola o media impresa, hai un buon motivo per preoccuparti degli attacchi DDoS. Sebbene sia improbabile che tu venga preso di mira personalmente da un attacco di questo tipo (anche se può accadere, quando un'azienda suscita l'ira del popolo di Internet), il server in cui è ospitato il tuo sito Web potrebbe esserlo. In tal caso, potresti ritrovarti offline per tutta la durata dell'attacco. Se non gestisci il server, fermare l'attacco è impossibile.

    Se invece gestisci il server, potresti notare un improvviso e insolito aumento dell'attività e, se intervieni rapidamente, puoi iniziare a bloccare le macchine infette per impedire loro di occupare larghezza di banda. Se non è possibile, puoi sempre acquistare temporaneamente più larghezza di banda o ospitare il tuo sito in un'altra posizione, anche se entrambe queste soluzioni sono piuttosto costose.

    E se dovessi essere un dirigente di Google che per caso sta leggendo questo articolo, non preoccuparti: le grandi aziende non hanno niente da temere dagli attacchi DDoS. Dopotutto, se non riusciste a gestire milioni di computer connessi contemporaneamente, non sareste i giganti che siete oggi.

    Contrastare le botnet

    Fortunatamente, l'utente medio non deve preoccuparsi di contrastare un'operazione botnet. Ma per i membri delle forze dell'ordine che hanno questo compito, c'è un solo modo ragionevole per uccidere il drago: tagliargli la testa. Oppure, lasciando da parte le metafore, sbarazzarsi del centro di comando e controllo, trovando e disattivando il computer con questo ruolo o impedendo agli hacker di accedervi.

    Per il modello client/server, è davvero facile: ci può essere una sola origine a cui è collegato ogni dispositivo infetto, quindi è semplice trovarla e metterla fuori uso. Ecco perché gli hacker hanno adottato il modello peer-to-peer, in cui qualsiasi dispositivo nel sistema potrebbe, teoricamente, operare come bot herder. Non si può semplicemente mettere fuori uso un computer. È necessario trovare ogni singolo bot herder e rimuoverlo dal sistema, altrimenti la rete potrà essere ripristinata.

    Concludendo

    Gli zombie vanno benissimo per videogiochi e film horror, ma l'idea di un computer lento e incespicante fuori dal tuo controllo non è per niente divertente. Con tutto ciò che gli hacker possono fare con una botnet, è confortante sapere che il loro più grande strumento può essere facilmente reso inoffensivo: con un antivirus efficiente come AVG AntiVirus FREE e un po' di sano buon senso, potremmo sconfiggere gli hacker black hat di tutto il mondo.

    E questo ci porta all'ultima buona notizia: lo stiamo facendo davvero. Al momento della stesura di questo articolo, il numero di botnet attive e dispositivi infetti è in calo in tutto il mondo. Quindi, continuando a mettere in atto comportamenti sicuri mentre siamo online e utilizzando un antivirus efficace, possiamo eliminare le botnet una volta per tutte.

    Resta sempre protetto!

    Proteggi il tuo dispositivo Android dalle minacce con AVG AntiVirus

    Installazione gratuita

    Proteggi il tuo iPhone dalle minacce con AVG Mobile Security

    Installazione gratuita
    Minacce
    Protezione
    Joseph Regan
    29-05-2018