Botnet
Per “botnet” si intende una combinazione di parole robotiche e rete, vale a dire un gruppo di computer (“bot”) che comunicano tra loro e con i rispettivi Server Command-and-control (C&C).
Nel campo della sicurezza delle informazioni, i bot sono computer che hanno subito una violazione dei sistemi di sicurezza. Eseguono software dannoso che consente a terzi di controllarli senza il consenso del proprietario del computer o dell’operatore autorizzato. Sebbene i principali bersagli di questa tipologia di attacco siano rappresentati dai computer domestici, i bot sono stati individuati anche in computer scolastici, aziendali e istituzionali. Tuttavia, in alcuni casi, i bot sono server compromessi. Ad esempio, i ricercatori di ESET hanno scoperto un’ampia e sofisticata operazione, denominata “Windigo”, nell’ambito della quale un gruppo di criminalità organizzata ha compromesso oltre 25.000 server Linux e UNIX.
Le botnet vengono tipicamente utilizzate per generare spam, diffondere altri malware (comprese copie create dagli stessi) o inondare reti o web server di numerose richieste allo scopo di causarne il malfunzionamento (attacco Denial of Service o DDoS). Le botnet sono state anche utilizzate per il phishing, il trasferimento di dati rubati e altri reati finanziari.
Le botnet di maggiori dimensioni, costituite da milioni di computer, rappresentano una grave minaccia. Secondo le stime del settore citate da Joseph Demarest, vicedirettore della Cyber Division dell’FBI, durante la sua dichiarazione rilasciata dinanzi alla Commissione giudiziaria del Senato, Sottocommissione per il crimine e il terrorismo degli Stati Uniti il 15 luglio 2014, le botnet hanno causato perdite nella misura di oltre 9 miliardi di dollari alle vittime statunitensi e di oltre 110 miliardi di dollari a livello globale. Ogni anno in tutto il mondo vengono infettati circa 500 milioni di computer.
Per questo motivo, le forze dell’ordine nazionali e internazionali collaborano con le principali società di sicurezza per contrastare le botnet sequestrandone server e domini C&C. Un esempio di una di queste operazioni è rappresentato dall’azione congiunta di numerose agenzie di sicurezza, tra cui FBI, Interpol, Europol, Microsoft e ESET, contro le botnet Dorkbot nel dicembre 2015.
ESET utilizza la tecnologia Protezione Botnet che ricerca nelle comunicazioni di rete in uscita sequenze dannose note e confronta i siti remoti con una blacklist di modelli dannosi. Qualsiasi comunicazione dannosa rilevata viene bloccata, segnalata all’utente e, facoltativamente, a ESET.