מחקר: בוטים מרובי יכולות הופכים לנפוצים יותר

גדל הביקוש הבינלאומי לנוזקות רב תכליתיות בעלות גמישות לביצוע כל משימה שתידרש מהם, כך שהן לא תוכננו במיוחד למטרה נקודתית מסוימת, כך על פי מחקר חדש של קספרסקי.

חוקרי ענקית אבטחת המידע הרוסית פרסמו דו"ח אודות פעילות הבוטנטים במחצית הראשונה של 2018. הדו"ח מנתח את הפעילות של יותר מ-150 משפחות נוזקות ואת הגרסאות שלהן, אשר אחראיות ליותר מ-60 אלף רשתות בוטים ברחבי העולם.

בוטנטים הם רשתות של מכשירים שהודבקו בנוזקה ואשר "מגויסים" על ידי עברייני הסייבר כדי להשתמש בכוח המחשוב שלהם לטובת ביצוע מתקפות מניעת שירות מבוזרת, DDoS או לשלוח ספאם.

על פי המחקר החדש, במחצית הראשונה של 2018 אחוז הנוזקות שהן חד תכליתיות, אשר הופץ דרך בוטנטים , צנח באופן משמעותי בהשוואה למחצית השנייה של 2017. כך לדוגמה, במחצית השנייה של 2017 22.5% מכל קבצי הנוזקות הייחודיות שנוטרו בבוטנטים היו טרויאנים לבנקאות, לעומת המחצית הראשונה של 2018, בה אחוז "הבנקאים" עמד על 13.2% מכל קבצי הנוזקות שנאספו.

שיעור הבוטים לספאם צנח גם הוא משמעותית

שיעור הבוטים לספאם, סוג נוסף של נוזקה בעלת מטרה יחידה, צנח גם הוא משמעותית: מ-18.9% במחצית השנייה של 2017 ל-12.2% במחצית הראשונה השנה. שיעור הבוטים המיועדים אך ורק ל- DDoS צנח גם הוא: מ-2.66% במחצית השניה של 2017 ל- 1.99% בתחילת השנה הנוכחית.

במקביל, הצמיחה המשמעותית ביותר נצפתה מקוד זדוני רב תכליתי ובמיוחד בקרב כלים לשליטה מרחוק – Remote Access Tools (ר"ת RAT). אלה מאפשרים הזדמנויות כמעט בלתי מוגבלת לניצול מחשבים שהודבקו. מאז המחצית הראשונה של 2017, אחוז קבצי ה-RAT שזוהו בבוטנטים, כמעט והכפיל את עצמו: מ-6.55% ל-12.22%.

Njrat, DarkComet ו-Nanocore עומדים בראש רשימת ה-RAT הנפוצים ביותר. הודות למבנה הפשוט יחסית שלהם, שלוש הדלתות האחוריות האלה ניתנות לשינוי ולהתאמה אפילו על ידי האקרים איום חובבנים. הדבר מאפשר לנוזקה להיות מותאמת להפצה באזור מסוים.

טרויאנים, שגם הם יכולים לשמש למטרות מגוונות, לא הציגו רמה דומה של התרחבות אבל בשונה מרוב הנוזקות החד תכליתיות, נתח הפעילות שלהם גדל גם הוא: מ-32.89% במחצית השנייה של 2017 ל-34.25% במחצית הראשונה של 2018. בדיוק כמו הנוזקה הרב תכליתית של הדלתות האחוריות, גם בטרויאני ניתן לשלוט דרך כמה שרתי פיקוד ושליטה אשר לכל אחד מהם יש מטרה שונה כגון ריגול סייבר או גניבת הרשאות.

"לנצל כל הזדמנות להוציא כסף מהרשת"

על פי הדו"ח, "הסיבה שמשפחות RAT וקוד זדוני רב תכליתי אחר הופכות לנפוצות מאוד בבוטנטים היא ברורה: העלות של בעלות על בוטנטים היא גבוהה וכדי להרוויח עבריינים צריכים להיות מסוגלים לנצל כל הזדמנות להוציא כסף מהרשת שלהם".

"בוטנט שנבנה באמצעות קוד זדוני רב-תכליתי יכול לשנות את הפעילות שלו במהירות רבה יחסית ולעבור משליחה של ספאם ל- DDoS או להפצה של טרויאנים לבנקאות. בעוד היכולת הזו מאפשרת לבעלי הבוטנטים לעבור בין מודלים שונים של עסקים זדוניים, היא גם פותחת הזדמנות להכנסה פאסיבית יותר: הבעלים יכול פשוט להשכיר את הבוטנט לעבריינים אחרים", צויין.

כך, על פי הדו"ח, הסוג היחיד של נוזקות בעלות יכולת בודדת שהציג צמיחה, היה אלו שנועדו לכריית מטבעות קריפטוגרפיים. אף שלא ניתן להשוות את מספר הקבצים שנרשמו מנוזקה זו לפופולריות העצומה של הנוזקות הרב תכליתיות, הרי שיעורם הכפיל את עצמו. מגמה זו תואמת לזינוק בכרייה זדונית שנצפתה על ידי מומחי קספרסקי.

טכנולוגיה שפיתחה קספרסקי למעקב אחר בוטנטים מאפשרת לחוקרי החברה לנטר באופן רציף את הפעילות של הבוטנטים באמצעות אמולציה (חיקוי) של מכשירים פגועים ולכידת הפקודות שהם מקבלים מההאקרים אשר מתפעלים את הבוטנטים. הטכנולוגיה מספקת לחוקרים דוגמיות חשובות של נוזקות ופריטי סטטיסטיקה, וכך מאפשרת למנוע מתקפות עתידיות.