Serveur minecraft

10 ans de malware: les pires botnets des années 2010 (suite) – Monter un serveur MineCraft

Le 26 décembre 2019 - 8 minutes de lecture

10 ans de malware: les pires botnets des années 2010 (suite)

Mirai

Développé par des étudiants pour pouvoir lancer des attaques DDoS contre leur université et les serveurs Minecraft, le malware Mirai est devenu la souche de malware IoT la plus répandue aujourd'hui.

Le malware a été conçu pour infecter les routeurs et les appareils intelligents IoT qui utilisent des informations d'identification Telnet faibles ou inexistantes. Les appareils infectés ont été assemblés dans un botnet spécialement conçu pour lancer des attaques DDoS.

Le botnet a été exploité en privé pendant près d'un an avant qu'une série d'attaques DDoS n'attirent trop l'attention de ses opérateurs. Afin de dissimuler leurs traces, les auteurs ont publié le code source de Mirai, espérant que d'autres créeraient leurs propres réseaux de zombies Mirai et empêcheraient les forces de l'ordre de suivre leur réseau de zombies d'origine.

Le plan a échoué et la publication du code a aggravé les choses, car plusieurs acteurs malveillants ont eu accès gratuitement à un outil puissant. Depuis lors, les botnets basés sur Mirai harcèlent quotidiennement les serveurs Internet avec des attaques DDoS, avec des rapports selon lesquels le nombre de différents botnets actifs de Mirai est passé à plus de 100.

Depuis que le code source de Mirai a été publié fin 2016, d'autres auteurs de logiciels malveillants ont utilisé le code Mirai pour créer leurs propres variantes personnalisées, les plus connues étant Okiru, Satori, Akuma, Masuta, PureMasuta, Wicked, Sora, Owari, Omni et Mirai OMG. .

Necurs

Necurs est un botnet anti-spam qui a été vu pour la première fois vers 2012 et qui aurait été créé par le même groupe derrière le cheval de Troie bancaire Dridex (le groupe TA505).

Le seul but du botnet est d'infecter les ordinateurs Windows, puis de les utiliser pour envoyer du spam. Tout au long de sa vie, le botnet a envoyé du spam pour toutes sortes d'escroqueries:

  • Spam Viagra et pharma
  • remèdes miracles
  • sites de rencontre spam
  • escroquerie de stock / crypto-monnaie et vidage
  • spam diffusant d'autres logiciels malveillants, tels que le cheval de Troie bancaire Dridex, le ransomware Locky ou le ransomware Bart

Le botnet a atteint son apogée en 2016-2017, lorsqu'il a collecté 6-7 millions d'appareils sur une base mensuelle. Le botnet est toujours vivant aujourd'hui, mais n'est pas aussi actif qu'il y a quelques années. Voici une courte liste de rapports techniques sur le botnet Necurs et certaines de ses campagnes.

Ramnit

Ramnit est un autre botnet créé pour contrôler le cheval de Troie bancaire éponyme. Il est apparu en 2010 et était basé sur une fuite de code source de l'ancien cheval de Troie bancaire ZeuS.

Dans sa première incarnation, le botnet a atteint une taille de 350 000 bots, ce qui a attiré l'attention des fournisseurs de cybersécurité et des forces de l'ordre.

Les autorités ont divulgué une première version en février 2015, mais n'ayant pas réussi à arrêter ses créateurs, les opérateurs Ramnit ont refait surface avec un nouveau botnet quelques mois plus tard.

Ramnit est toujours actif aujourd'hui, mais loin des chiffres qu'il avait atteints à son apogée en 2015.

Retadup

Le malware Retadup et son réseau de zombies ont été détectés pour la première fois en 2017. C'était un cheval de Troie voleur d'informations de base qui a volé divers types de données à des hôtes infectés et envoyé les informations à un serveur. éloigné.

Le cheval de Troie Retadup est passé sous le radar pendant la majeure partie de sa vie jusqu'en août, lorsque Avast et la police française sont intervenus pour éliminer le botnet et demander au malware de s'auto-supprimer de tous les hôtes infectés. .

Ce n'est qu'à ce moment-là que les autorités ont découvert que Retadup avait été une opération à grande échelle, ayant infecté plus de 850 000 systèmes dans le monde, principalement en Amérique latine.

Smominru (Hexmen, MyKings)

Smominru – également connu sous le nom de MyKings ou Hexmen – est le plus grand botnet au monde aujourd'hui dédié à l'extraction de crypto-monnaie.

Il le fait sur les serveurs de bureau et d'entreprise, auxquels il accède généralement en exécutant des systèmes non corrigés.

Le botnet est apparu en 2017, lorsqu'il a infecté plus de 525 000 ordinateurs Windows et extrait plus de 2,3 millions de dollars de Monero (XMR) au nom de ses opérateurs, au cours de ses premiers mois de vie.

Malgré la baisse des prix des crypto-monnaies, le botnet est toujours actif aujourd'hui, infectant environ 4700 nouveaux appareils chaque jour, selon un rapport publié au cours de l'été.

TrickBot

TrickBot fonctionne de manière similaire à Emotet. Il s'agit d'un ancien cheval de Troie bancaire qui est devenu un outil de diffusion de logiciels malveillants et a adopté un système de paiement à l'utilisation. Les opérateurs gagnent désormais de l'argent en installant des logiciels malveillants d'autres groupes criminels sur les ordinateurs qu'ils infectent.

Le botnet est apparu pour la première fois en 2016, et ses versions initiales partageaient le code avec le cheval de Troie bancaire aujourd'hui éteint. Les chercheurs en sécurité de l'époque ont suggéré que des vétérans du gang Dyre d'origine avaient créé TrickBot après que les autorités russes aient sévi contre certains des membres du groupe plus tôt cette année.

Cependant, TrickBot n'a pas longtemps fonctionné comme un cheval de Troie bancaire. Il est lentement devenu un distributeur de logiciels malveillants à l'été 2017, à peu près au moment où Emotet a commencé à évoluer.

Bien qu'il n'y ait aucune preuve que les deux réseaux de zombies sont gérés par le même groupe, il existe une collaboration entre les deux groupes. Le gang TrickBot loue souvent l'accès à des ordinateurs qui ont déjà été infectés par Emotet, où ils installent leur cheval de Troie, que l'équipe Emotet tolère, même si TrickBot est l'un de leurs principaux concurrents.

La taille du botnet TrickBot a varié au fil des ans, de 30 000 à 200 000, selon les sources des rapports et la visibilité dont ils disposent sur l'infrastructure des logiciels malveillants.

WIREX

WireX est l'un des rares cas heureux de cette liste. Il s'agit d'un botnet de malware qui a été supprimé dans le mois qui a suivi sa création, après que plusieurs sociétés de sécurité et réseaux de diffusion de contenu ont uni leurs forces pour supprimer son infrastructure.

Le botnet a été construit à l'aide du logiciel malveillant WireX Android, qui est apparu de manière inattendue en juillet 2017 pour infecter plus de 120000 smartphones en quelques semaines.

Alors que la plupart des logiciels malveillants Android sont aujourd'hui utilisés pour la fraude sur les publicités et les clics, ce botnet était extrêmement bruyant, utilisé pour lancer de puissantes attaques DDoS.

Cela a immédiatement attiré l'attention des sociétés de sécurité et, dans un effort coordonné, l'infrastructure backend pour les botnet et les logiciels malveillants a été supprimée à la mi-août de la même année. Des entreprises comme Akamai, Cloudflare, Flashpoint, Google, Oracle Dyn, RiskIQ, Team Cymru et quelques autres ont participé à l'opération.

ZeroAccess

ZeroAccess est un botnet qui a été construit à l'aide du rootkit ZeroAccess. Les opérateurs de botnet l'ont utilisé pour gagner de l'argent en téléchargeant d'autres logiciels malveillants sur des machines infectées ou en cliquant frauduleusement sur des publicités Web.

Le botnet a été repéré pour la première fois en 2009 et a été fermé en 2013 à la suite d'une opération de retrait coordonnée par Microsoft.

Selon Sophos, le botnet a infecté plus de 9 millions de systèmes Windows au cours de sa vie, affecté jusqu'à un million d'appareils infectés en même temps et aidé les opérateurs à gagner environ 100 000 $ par jour.

Une collection de rapports techniques ZeroAccess est disponible sur Malpedia. Ce rapport Symantec est également assez complet.

Source: ZDNet.com

Commentaires

Laisser un commentaire

Votre commentaire sera révisé par les administrateurs si besoin.