Une décennie de malwares: les meilleurs réseaux de zombies des années 2010 – Monter un serveur MineCraft

Au cours des dix dernières années, le secteur de la sécurité de l'information (infosec) a connu une augmentation quasi constante de l'activité liée aux logiciels malveillants.

Il ne fait aucun doute que les années 2010 ont été la décennie au cours de laquelle les programmes malveillants ont quitté un paysage de semi-ammateriush occasionnel pour devenir une véritable opération criminelle, capable de générer des centaines de millions de dollars par an pour les acteurs impliqués.

Bien que des milliers de programmes malveillants aient été actifs dans les années 2010, quelques botnets de logiciels malveillants ont dépassé les autres en termes de propagation et de taille, ce qui correspond à ce que certains chercheurs en sécurité qualifieraient de "super-botnets".

Des souches de logiciels malveillants comme Necurs, Andromeda, Kelihos, Mirai ou ZeroAccess se sont fait connaître après avoir infecté des millions d'appareils à travers le monde.

Cet article a pour but de résumer les plus gros réseaux de zombies malveillants que nous avons vus au cours des dix dernières années. Comme le suivi des réseaux de zombies n’est jamais précis à 100%, nous allons les répertorier par ordre alphabétique et mentionner leur taille maximale, telles qu’elles ont été signalées à l’époque.

3ve

3ve est considéré comme le botnet anti-fraude le plus avancé jamais assemblé. Il a fonctionné de 2013 à 2018, date à laquelle il a été démantelé par une action internationale en matière d'application de la loi, avec l'aide de Google et de la firme de cyber-sécurité White Ops.

Le botnet reposait sur un mélange de scripts malveillants exécutés sur des serveurs hébergés dans un centre de données et de modules anti-fraude chargés sur des ordinateurs infectés par des programmes malveillants tiers, tels que Methbot et Kovter.

Trois opérateurs ont également créé de faux sites Web sur lesquels ils ont chargé des annonces, puis les ont utilisés pour cliquer sur les annonces et générer des bénéfices. À un moment donné, le botnet compterait plus de 1,5 million d'ordinateurs personnels et 1 900 serveurs qui cliquent sur des publicités chargées sur plus de 10 000 faux sites Web.

Voir la couverture précédente de ZDNet, le rapport PDF Google & White Ops et le blog de Google.

Andromède (Gamarue)

Le logiciel malveillant Andromeda a été découvert dans la nature en 2011 et constitue votre botnet typique du "téléchargeur de spam et de logiciels malveillants", également connu sous le nom de programme Maware (Malware-as-a-Service).

Par ce terme, nous faisons référence à un type d’exploitation de programmes malveillants dans lequel les escrocs sont des utilisateurs qui envoient des spams en masse pour les infecter avec la souche de logiciels malveillants Andromeda (Gamarue). Les escrocs utilisent ensuite ces hôtes infectés pour envoyer de nouveaux spams par courrier électronique à d'autres utilisateurs et étendre ou maintenir le botnet en vie, ou ils téléchargent une souche de malwares de deuxième étape à la demande d'autres gangs de malwares (payants).

Les réseaux de zombies MaaS qui fournissent un «espace d'installation» font partie des schémas les plus lucratifs en matière de cybercriminalité, et les escrocs peuvent utiliser différentes souches de logiciels malveillants pour configurer l'infrastructure principale pour une telle opération.

Andromeda est l’un de ces types de virus et est très populaire au fil des ans. La raison de son succès est due au fait que le code source d’Andromeda a été divulgué en ligne, il ya quelques années, et a permis à plusieurs gangs criminels de créer leur propre réseau de zombies et de s’essayer à la "cybercriminalité".

Au fil des ans, les entreprises de cybersécurité ont suivi de nombreux gangs criminels exploitant un botnet Andromeda. Le plus grand serveur connu à ce jour a atteint deux millions d'hôtes infectés et a été fermé par Europol en décembre 2017.

Les lecteurs peuvent trouver une collection de rapports d’informations sur le logiciel malveillant Andromeda sur la page Malpedia, ainsi que sur celle-ci et celle-ci.

Bamital

Bamital est un botnet adware exploité entre 2009 et 2013. Il a été supprimé à la suite d'un effort conjoint de Microsoft et de Symantec.

Sur les hôtes infectés, les programmes malveillants Bamital ont modifié les résultats de la recherche pour insérer des liens et du contenu personnalisés, redirigeant souvent les utilisateurs vers des sites malveillants proposant des téléchargements malveillants.

Bamital aurait infecté plus de 1,8 million d'ordinateurs.

Bashlite

Bashlite, également connu sous des noms tels que Gafgyt, Lizkebab, Qbot, Torlus et LizardStresser, est une souche de programmes malveillants conçue pour infecter les routeurs domestiques WiFi, les périphériques intelligents et les serveurs Linux mal sécurisés.

Son seul et principal rôle est de mener des attaques DDoS.

Le programme malveillant a été créé en 2014 par des membres du groupe de piratage Lizard Squad. Son code a été divulgué en ligne en 2015.

En raison de cette fuite, le malware a souvent été utilisé pour héberger la plupart des botnets DDoS actuels et constitue souvent la deuxième souche de malware IoT la plus populaire, derrière Mirai. Des centaines de variations bashlites existent actuellement.

Bredolab

Le botnet Bredolab aurait infecté pas moins de 30 millions d’ordinateurs Windows entre 2009 et novembre 2010, date de son retrait, lorsque la police néerlandaise a saisi plus de 140 de ses serveurs de commande et de contrôle.

Le botnet a été créé par un auteur de programmes malveillants arménien, qui a utilisé des messages de courrier indésirable et des téléchargements de disque pour infecter les utilisateurs avec le programme malveillant Bredolab. Une fois infectés, les ordinateurs des victimes seraient utilisés pour envoyer d’énormes quantités de spam.

Carna

Le botnet Carna n’est pas ce que vous appelleriez un "malware". Il s'agissait d'un botnet créé par un pirate informatique anonyme dans le but de lancer un recensement Internet.

En 2012, il avait infecté plus de 420 000 routeurs Internet et recueillait simplement des statistiques sur l'utilisation d'Internet directement auprès des utilisateurs … et sans autorisation.

Il a infecté les routeurs qui n’utilisaient pas de mot de passe ou qui étaient sécurisés avec des mots de passe par défaut ou faciles à deviner – une tactique mise au point pour les attaques DDoS malveillantes quatre ans plus tard par le botnet Mirai.

Pour en savoir plus sur Carna, rendez-vous sur la page Wikipedia du botnet ou sur cet épisode de podcast Darknet Diaries.

Caméléon

Chameleon est un botnet de courte durée qui a fonctionné en 2013. C'est l'un des rares botnets anti-fraude figurant sur cette liste.

Selon les rapports de l'époque, les auteurs du botnet ont infecté plus de 120 000 utilisateurs du programme malveillant Chameleon. Ce logiciel malveillant ouvrait une fenêtre Internet Explorer en arrière-plan et permettait d'accéder à une liste de 202 sites, où il déclencherait des impressions d'annonce aidant les auteurs du botnet à générer des revenus pouvant atteindre 6,2 millions de dollars par mois.

Le botnet a cessé de fonctionner après son éviction publique.

Coreflood

Coreflood est l'une des menaces oubliées d'Internet. Il est apparu en 2001 et a été fermé en 2011.

On pense que le botnet a infecté plus de 2,3 millions d’ordinateurs Windows, avec plus de 800 000 robots au moment de son retrait en juin 2011.

Les opérateurs Coreflood ont utilisé des sites Web piégés pour infecter les ordinateurs des utilisateurs via une technique appelée "drive-by download". Une fois que la victime a été infectée, elle a utilisé Coreflood pour télécharger un autre programme malveillant plus puissant – Coreflood fonctionnant comme un "programme d’acquisition / de téléchargement de logiciels malveillants". Http://www.zdnet.com/

Pour une description de ses capacités techniques, reportez-vous à la section Analyse technique Coreflod de Symantec.

Dridex

Dridex est l'un des botnets les plus infâmes du moment. Le malware Dridex et le botnet associé existent depuis 2011, ils s'appelaient initialement Cridex, avant de devenir la souche Dridex actuelle (parfois aussi appelée Bugat).

Le malware Dridex est avant tout un cheval de Troie bancaire qui vole des identifiants bancaires et permet aux pirates d’accéder aux comptes bancaires, mais il comporte également un composant info-voleur.

Le malware est généralement distribué via malspam (courriers électroniques contenant des pièces jointes malveillantes). Plusieurs rapports indiquent que le groupe qui a créé Dridex utilise également le botnet de spamming par courrier électronique Necurs. Il existe des similitudes de code entre les deux types de programmes malveillants et le spam qui se propage à Dridex est toujours distribué via le botnet de spam Necurs.

L'un des principaux développeurs de Dridex a été arrêté en 2015, mais le botnet Dridex a continué à fonctionner et il est toujours actif aujourd'hui.

La taille du réseau de zombies (nombre d'ordinateurs infectés par le logiciel malveillant Dridex) a considérablement varié au fil des ans et d'un fournisseur à l'autre. Les pages Dridex et TA505 Malpedia répertorient une fraction des centaines de rapports Dridex, illustrant l’immense activité de ce réseau de zombies au cours de la dernière décennie.

Emotet

Emotet a été aperçu pour la première fois à l'état sauvage en 2014. Il fonctionnait initialement comme un cheval de Troie bancaire, mais s'est réorganisé pour devenir un compte-gouttes de logiciels malveillants pour d'autres opérations de cybercriminalité en 2016 et 2017.

Aujourd'hui, Emotet est la principale opération MaaS au monde. Il est souvent utilisé pour permettre aux escrocs d'accéder aux réseaux d'entreprise, où les pirates informatiques peuvent voler des fichiers propriétaires ou installer des ransomwares pour chiffrer des données sensibles, puis extorquer des sociétés pour d'importantes sommes d'argent.

La taille du botnet varie de semaine en semaine. Emotet fonctionne également via trois «époques» plus petites (mini-réseaux de zombies), ce qui lui permet d’éviter les tirs coordonnés des forces de l’ordre et de tester diverses actions avant un déploiement plus large.

Le malware Emotet est également connu sous le nom de Geodo et ses capacités techniques ont été largement documentées. L'infographie ci-dessous fournit un aperçu actualisé des capacités d'Emotet, au moment de la rédaction de ce document, avec la permission de Sophos Labs.

Festi

Le botnet Festi a été construit avec l’aide du rootkit éponyme de Festi. Le botnet était actif entre 2009 et 2013, lorsque son activité s'est lentement éteinte.

À son apogée en 2011 et 2012, le botnet aurait infecté plus de 250 000 ordinateurs et était capable d'envoyer plus de 2,5 milliards de spams par jour.

En plus de ses capacités de spam bien documentées, le botnet a également été utilisé pour mener des attaques DDoS sur des occasions rares, étant l’un des rares réseaux de zombies Windows à le faire.

Le botnet était également connu sous le nom de Topol-Mailer. Plusieurs sources ont identifié le programmeur russe Igor Artimovich comme le créateur du botnet [1, 2].

Gameover ZeuS

Gameover ZeuS est un botnet de logiciels malveillants qui a fonctionné entre 2010 et 2014, lorsque son infrastructure a été saisie par les forces de l'ordre internationales.

Le botnet a été assemblé en infectant des ordinateurs avec Gameover ZeuS, un cheval de Troie bancaire basé sur le code source divulgué du cheval de Troie ZeuS. On pense que Gameover ZeuS a infecté jusqu'à un million d'appareils.

En plus de voler des informations bancaires à des hôtes infectés, le gang Gameover Zeus a également offert l'accès à des hôtes infectés à d'autres groupes de cybercriminalité, afin qu'ils puissent installer leurs propres logiciels malveillants. Le botnet Gameover ZeuS était le principal distributeur de CryptoLocker, l'une des toutes premières souches de ransomware cryptées, au lieu de verrouiller le bureau d'un utilisateur.

Le principal opérateur du botnet a été identifié comme un Russe nommé Evgeniy Mikhailovich Bogachev, toujours en fuite en Russie. Le FBI offre actuellement une récompense de 3 millions de dollars pour des informations menant à l'arrestation de Bogachev, la plus grande récompense que le FBI offre à tout pirate informatique.

Famille Gozi

La famille de logiciels malveillants de Gozi mérite d’être mentionnée sur cette liste, principalement en raison de son impact sur la scène des logiciels malveillants actuelle, et pas nécessairement en raison de la taille des réseaux de zombies créés (la plupart d'entre eux étant très petits, mais persistants depuis de nombreuses années). les années).

Le cheval de Troie bancaire original Gozi a été mis au point en 2006 en tant que concurrent direct du cheval de Troie ZeuS et de son offre Malware-as-a-Service.

Tout comme ZeuS, le code source de Gozi a été divulgué en ligne (en 2010) et a été immédiatement adopté par d'autres gangs de cybercriminels, qui l'ont incorporé et réutilisé pour créer de nombreux autres chevaux de Troie bancaires qui minent la scène des logiciels malveillants depuis une décennie.

Bien qu'il existe des dizaines de programmes malveillants basés sur Gozi, les plus persistants de tous sont la version Gozi ISFB, la variante Vawtrak (Neverquest) et le botnet GozNym, une combinaison entre Gozi IFSB et Nymain.

Actuellement, Gozi est considéré comme obsolète, principalement parce qu’il ne fait pas bon ménage avec les navigateurs et les systèmes d’exploitation modernes, et a été lentement abandonné ces dernières années.

Grum

Le réseau de robots Grum a fonctionné entre 2008 et 2012 et a été construit à l'aide de la souche de logiciels malveillants de rootkit éponyme. À son apogée, le réseau de zombies atteignait 840 000 ordinateurs infectés, principalement des systèmes Windows XP.

Le botnet a été fermé en 2012 après un effort conjoint de Spamhaus, du groupe IB et de FireEye, bien que, à cette date, la taille du botnet ait été réduite à 20 000 unités.

L'objectif principal de Grum était d'utiliser des ordinateurs infectés pour envoyer des dizaines de millions de messages de spam par jour, principalement à des produits pharmaceutiques et à des sites de rencontre.

Hajime

Le botnet Hajime est apparu en avril 2017 et est toujours actif aujourd'hui. C'est votre botnet IoT classique qui infecte les routeurs et les périphériques intelligents via des vulnérabilités non corrigées et des mots de passe faibles.

Le botnet est le premier botnet IoT à avoir utilisé une structure P2P (peer-to-peer) parmi tous les botnets IoT. Durant son apogée, le botnet a atteint une taille de 300 000 périphériques infectés. Cependant, sa masse n'a pas duré longtemps et d'autres réseaux de zombies se sont moqués. Le réseau de zombies a maintenant été réduit à environ 90 000 périphériques en moyenne.

Le botnet n'a jamais été impliqué dans des attaques DDoS et on pense que des escrocs l'utilisent pour créer un trafic malveillant ou pour mener des attaques de type «informations d'identification».

Kelihos (Waledac)

Le botnet Kelihos, également connu sous le nom de Waleac, était actif entre 2010 et avril 2017, lorsque les autorités ont finalement réussi à l'arrêter à leur quatrième tentative, après avoir échoué en 2011, 2012 et 2013.

Le botnet atteignait quelques centaines de milliers de robots, mais il était tombé à environ 60 000 robots au moment de sa suppression.

En ce qui concerne son mode de fonctionnement, Kelihos était votre botnet de spam classique, utilisant des robots infectés pour envoyer des campagnes de spam par courrier électronique au nom de divers fraudeurs ou opérations de programmes malveillants.

L'exploitant de botnet Kelihos a été arrêté en 2017 en Espagne et extradé aux États-Unis. Il a plaidé coupable l'année dernière et attend maintenant la sentence.

Mirai

Développé par des étudiants en colère pour qu'ils puissent lancer des attaques DDoS contre leurs serveurs universitaires et Minecraft, le malware Mirai est devenu la souche de malware IoT la plus répandue.

Le malware a été conçu pour infecter les routeurs et les périphériques IoT intelligents qui utilisent des identifiants de connexion Telnet faibles ou nuls. Les périphériques infectés sont assemblés dans un botnet spécialement conçu pour lancer des attaques DDoS.

L’exploitation privée du botnet a duré près d’un an avant qu’une série d’attaques par DDoS n’attire trop l’attention de ses opérateurs. Pour tenter de cacher leurs traces, les auteurs ont rendu public le code source de Mirai, espérant que d’autres créeraient leur propre réseau de zombies Mirai et empêcheraient les forces de l’ordre de suivre leur réseau de robots original.

Le plan n'a pas abouti et la publication du code a encore aggravé la situation, car de nombreux acteurs de la menace avaient désormais accès à un puissant outil gratuit. Depuis lors, les réseaux de zombies basés sur Mirai ont envahi quotidiennement les serveurs Internet avec des attaques DDoS. Certains rapports font état de plus de 100 réseaux de botnets différents actifs en même temps, simultanément.

Depuis la publication publique de la source Mirai fin 2016, d'autres auteurs de programmes malveillants ont utilisé le code Mirai pour créer leurs propres variantes personnalisées, les plus connues étant Okiru, Satori, Akuma, Masuta, PureMasuta, Wicked, Sora, Owari et Omni. et Mirai OMG.

Nécurs

Necurs est un botnet de spam qui a été découvert pour la première fois vers 2012 et qui aurait été créé par le même équipage que celui qui gère le cheval de Troie bancaire Dridex (à savoir, l’équipage du TA505).

Le seul but du botnet est d'infecter les ordinateurs Windows, puis de les utiliser pour envoyer des spams. Au cours de son existence, le botnet a été vu en train d'envoyer du spam pour toutes sortes de projets:

– Viagra et spam pharmaceutique
– remèdes miracles
– spam de sites de rencontres
– schémas de pompe / vidage stock / crypto-monnaie
– malspam répandant d'autres logiciels malveillants, tels que le cheval de Troie bancaire Dridex, le ransomware Locky ou le ransomware Bart

Le botnet a atteint son apogée en 2016-2017, alors qu'il était présent sur environ 6 à 7 millions d'appareils sur une base mensuelle. Le botnet est encore en vie aujourd'hui, mais il n'est pas aussi actif qu'il y a quelques années. Voici une courte liste de rapports techniques sur le botnet Necurs et certaines de ses campagnes.

Ramnit

Ramnit est encore un autre botnet créé pour contrôler le cheval de Troie bancaire éponyme. Il est apparu en 2010 et était basé sur le code source divulgué de l'ancien cheval de Troie bancaire ZeuS.

Lors de sa première incarnation, le botnet avait atteint la taille de 350 000 robots, ce qui a attiré l'attention des fournisseurs de cyber-sécurité et des forces de l'ordre.

Les autorités ont détruit une première version en février 2015, mais n'ayant pas réussi à arrêter ses créateurs, les opérateurs de Ramnit ont refait surface avec un nouveau réseau de zombies quelques mois plus tard.

Ramnit est toujours actif aujourd'hui, mais il était loin des chiffres de son apogée, en 2015.

Retadup

Le malware Retadup et son botnet ont été découverts pour la première fois en 2017. Il s'agissait d'un cheval de Troie de vol d'informations élémentaire qui volait divers types de données sur des hôtes infectés et les envoyait à un serveur distant.

Le cheval de Troie Retadup a passé le plus clair de son temps au radar jusqu'en août dernier, lorsque Avast et la police française sont intervenus pour supprimer le botnet et demander au logiciel malveillant de s'auto-supprimer de tous les hôtes infectés.

C’est seulement à ce moment-là que les autorités ont appris que Retadup avait été une opération assez importante, ayant infecté plus de 850 000 systèmes à travers le monde, principalement en Amérique latine.

Smominru (Hexmen, MyKings)

Smominru – également suivi sous les noms de MyKings ou Hexmen – est le plus grand botnet d’aujourd’hui dédié uniquement à l’exploitation de la crypto-monnaie.

Cela s'effectue à la fois sur les serveurs de bureau et les serveurs d'entreprise, auxquels il accède généralement en exploitant des systèmes non corrigés.

Le botnet est apparu en 2017, lorsqu'il a infecté plus de 525 000 ordinateurs Windows et extrait plus de 2,3 millions de dollars de Monero (XMR) pour ses opérateurs, au cours de ses premiers mois de vie.

Malgré une baisse des prix de négociation de la crypto-monnaie, le botnet est toujours actif, infectant environ 4 700 nouveaux appareils chaque jour, selon un rapport publié au cours de l'été.

TrickBot

TrickBot fonctionne de manière similaire à Emotet. C'est un ancien troyen bancaire qui a évolué pour devenir un compte-gouttes de logiciels malveillants et a adopté un système de paiement à l'installation. Il gagne maintenant la plus grande partie de son argent en installant les logiciels malveillants d'autres groupes criminels sur les ordinateurs qu'ils infectent.

Le botnet est apparu pour la première fois en 2016 et ses versions initiales partageaient de gros morceaux de code avec le cheval de Troie bancaire Dyre, aujourd'hui disparu. À l'époque, des chercheurs en matière de sécurité ont suggéré que des vestiges du groupe original Dyre aient été créés, TrickBot, après que les autorités russes eurent réprimé certains des membres du groupe au début de l'année.

Cependant, TrickBot n’a pas longtemps été un cheval de Troie bancaire. Il est lentement devenu un enregistreur de logiciels malveillants à l'été 2017, à peu près au même moment où Emotet procédait également à son changement.

Bien qu'il n'y ait aucune preuve que les deux réseaux de zombies soient gérés par le même équipage, il existe une collaboration entre les deux groupes. Le gang TrickBot loue souvent un accès à des ordinateurs précédemment infectés par Emotet, où ils abandonnent leur cheval de Troie, ce que l’équipage Emotet a toléré, même si TrickBot est l’un de leurs principaux concurrents.

La taille du botnet TrickBot a varié au fil des années, allant de 30 000 à 200 000, en fonction de la source du rapport et de la visibilité qu’il a sur l’infrastructure du logiciel malveillant.

WireX

WireX est l’un des rares cas heureux de cette liste. Il s'agit d'un botnet de logiciels malveillants qui a été détruit un mois après sa création, après la fusion de plusieurs entreprises de sécurité et de réseaux de diffusion de contenu pour détruire son infrastructure.

Le botnet a été construit avec le malware WireX Android, qui est apparu à l'improviste en juillet 2017 pour infecter plus de 120 000 smartphones en quelques semaines.

Aujourd'hui, la plupart des logiciels malveillants Android sont utilisés pour les logiciels publicitaires et les fraudes au clic, ce réseau de robots était extrêmement bruyant, car il était utilisé pour lancer de puissantes attaques par DDoS.

Cela a immédiatement attiré l'attention des entreprises de sécurité et, dans le cadre d'un effort coordonné, l'infrastructure dorsale du botnet et des logiciels malveillants a été supprimée à la mi-août de la même année. Des entreprises comme Akamai, Cloudflare, Flashpoint, Google, Oracle Dyn, RiskIQ, le Team Cymru et quelques autres ont participé au takedown.

ZeroAccess

ZeroAccess est un botnet construit avec le rootkit ZeroAccess. Les opérateurs du réseau de zombies l'utilisaient pour gagner de l'argent en téléchargeant d'autres logiciels malveillants sur des hôtes infectés ou en effectuant une fraude au clic sur des publicités Web.

Le botnet a été détecté pour la première fois en 2009 et a été arrêté en 2013 à la suite d'une opération de retrait effectuée par Microsoft.

Selon Sophos, le botnet a infecté plus de 9 millions de systèmes Windows au cours de sa vie, avec un million d'infections infectées en même temps, et aidé les opérateurs à gagner environ 100 000 dollars par jour.

Une collection de rapports techniques sur ZeroAccess est disponible sur Malpedia. Cet article Symantec est également assez complet.