Passa al contenuto principale

Cos'è una botnet?

Cos'è una botnet?

Definizione di botnet

Le botnet sono reti di dispositivi informatici violati usate per attuare varie truffe e cyberattacchi. Il termine "botnet" è formato dalle parole "robot" e "network" (rete). L'assemblaggio di una botnet corrisponde solitamente alla fase di infiltrazione di uno schema multilivello. I bot servono come strumento per automatizzare attacchi di massa, come il furto di dati, l'arresto di server e la distribuzione di malware.

Le botnet sfruttano i tuoi dispositivi per truffare altre persone o causare interruzioni, il tutto senza il tuo consenso. Ma cos'è un attacco botnet e come funziona? Per ampliare questa definizione di botnet, ti aiuteremo a capire come vengono create e come vengono utilizzate.

Come funziona una botnet

Le botnet sono progettate per espandere, automatizzare e accelerare la capacità di un hacker di sferrare attacchi su larga scala.

Una sola persona o anche un piccolo gruppo di hacker può eseguire solo un numero limitato di azioni sui propri dispositivi locali. Con costi limitati e investendo un po' di tempo, possono però acquisire tonnellate di macchine aggiuntive da sfruttare per una maggiore efficienza operativa.

Un bot herder usa comandi remoti per guidare un collettivo di dispositivi violati. Una volta compilati i bot, l'herder utilizza la programmazione dei comandi per guidare le azioni successive. La parte che assume il comando potrebbe aver configurato la botnet o gestirla a noleggio.

I computer zombie, o bot, sono i singoli dispositivi utente infetti da malware e acquisiti per essere utilizzati nella botnet. Questi dispositivi funzionano in modo acritico secondo i comandi impartiti dal bot herder.

Le fasi principali della costruzione di una botnet possono essere riassunte in pochi passaggi:

  1. Preparazione ed esposizione: l'hacker sfrutta una vulnerabilità per esporre gli utenti al malware.
  2. Infezione: i dispositivi degli utenti vengono infettati da malware che può prendere il controllo del dispositivo.
  3. Attivazione: gli hacker mobilitano i dispositivi infetti per sferrare gli attacchi.

L'esposizione della fase 1 inizia con l'individuazione da parte degli hacker di una vulnerabilità in un sito Web, in un'applicazione o in un comportamento umano. L'obiettivo è quello di predisporre l'utente a essere inconsapevolmente esposto a un'infezione da malware. Di solito gli hacker sfruttano i problemi di sicurezza dei software o dei siti Web oppure inviano il malware tramite e-mail e altri messaggi online.

Nella fase 2, l'utente viene infettato dal malware della botnet eseguendo un'azione che compromette il suo dispositivo. Molti di questi metodi prevedono che gli utenti vengano convinti tramite tecniche di social engineering a scaricare uno speciale virus trojan. Altri hacker potrebbero essere più aggressivi e usare un download drive-by durante la visita di un sito infetto. Indipendentemente dal metodo di distribuzione, i cybercriminali riescono alla fine a violare la sicurezza dei computer di diversi utenti.

Quando l'hacker è pronto, la fase 3 inizia assumendo il controllo di ogni computer. L'autore dell'attacco organizza tutti i dispositivi infetti in una rete di "bot" gestibile da remoto. Il cybercriminale cercherà spesso di infettare e controllare migliaia, decine di migliaia o addirittura milioni di computer e agirà poi come il capo di una grande "rete di zombie", ovvero una botnet completamente assemblata e attiva.

Ma cosa fa in effetti una botnet? Una volta infettato, un computer zombie consente l'accesso alle operazioni di livello amministratore, come ad esempio:

  • Lettura e scrittura dei dati di sistema
  • Raccolta dei dati personali dell'utente
  • Invio di file e altri dati
  • Monitoraggio delle attività dell'utente
  • Ricerca di vulnerabilità in altri dispositivi
  • Installazione ed esecuzione di applicazioni

Quali sono i dispositivi controllabili tramite una botnet?

I candidati per il reclutamento nella botnet possono essere tutti i dispositivi in grado di accedere a una connessione Internet.

Molti dei dispositivi di uso comune oggi hanno una qualche forma di computer al loro interno, anche alcuni insospettabili. Quasi tutti i dispositivi Internet basati su computer sono vulnerabili per una botnet e questo significa che la minaccia è sempre più diffusa. Per proteggerti, prendi nota di alcuni dispositivi comuni che vengono dirottati nelle botnet:

I computer tradizionali, come i desktop e i laptop con sistema operativo Windows o macOS, sono da tempo obiettivi popolari per la creazione di botnet.

I dispositivi mobili sono diventati un altro obiettivo comune, considerata l'ampia diffusione. Anche gli smartphone e i tablet sono stati inclusi specificatamente in attacchi botnet del passato.

Può essere cooptato nelle botnet anche l'hardware dell'infrastruttura Internet utilizzato per abilitare e supportare le connessioni Internet. I router di rete e i server Web sono bersagli noti.

I dispositivi Internet of Things (IoT) comprendono tutti i dispositivi connessi che condividono dati tra loro tramite Internet. Ecco alcuni esempi, oltre ai computer e ai dispositivi mobili:

  • Dispositivi smart home (termometri, telecamere di sicurezza, televisori, altoparlanti, ecc.)
  • Sistemi di Infotainment dell'auto
  • Dispositivi indossabili (smartwatch, braccialetti fitness, ecc.)

Nel loro insieme, tutti questi dispositivi possono essere violati per creare enormi botnet. Il mercato tecnologico è ormai saturo di dispositivi a basso costo e a bassa sicurezza, che rendono l'utente particolarmente vulnerabile. Senza anti-virus e anti-malware, i bot herder possono infettare i tuoi dispositivi senza farsi notare.

Come fanno gli hacker a controllare una botnet?

L'invio di comandi è una parte fondamentale del controllo di una botnet. Tuttavia, l'anonimato è altrettanto importante per l'autore dell'attacco. Per questo, le botnet vengono gestite tramite programmazione remota.

Il server di command-and-control (C&C) è la fonte di tutte le istruzioni e i comandi per la botnet. Si tratta del server principale del bot herder, da cui ogni computer zombie riceve i comandi.

Ogni botnet può essere guidata da comandi diretti o indiretti in base ai modelli seguenti:

  • Modelli client/server centralizzati
  • Modelli peer-to-peer (P2P) decentralizzati

I modelli centralizzati sono guidati da un solo server bot herder. Una variante di questo modello può prevedere l'inserimento di server aggiuntivi con il ruolo di sub-herder, o "proxy". Tuttavia, tutti i comandi provengono dal bot herder, sia nelle gerarchie centralizzate che in quelle basate su proxy. In entrambe le strutture, il bot herder è esposto alla possibilità di essere scoperto, il che rende questi metodi datati non proprio ideali.

Nei modelli decentralizzati le responsabilità per le istruzioni sono incorporate in tutti i computer zombie. Finché il bot herder può contattare uno qualsiasi dei computer zombie, riuscirà a diffondere i comandi agli altri. La struttura peer-to-peer nasconde ulteriormente l'identità del bot herder. Con evidenti vantaggi rispetto ai vecchi modelli centralizzati, il P2P è oggi più diffuso.

Per cosa vengono utilizzate le botnet?

I creatori di botnet hanno sempre qualcosa da guadagnare, in termini di denaro o di soddisfazione personale.

  • Furto finanziario tramite estorsione o sottraendo denaro direttamente
  • Furto di informazioni per ottenere l'accesso ad account sensibili o riservati
  • Sabotaggio di servizi, ad esempio, disattivando servizi e siti Web
  • Truffe di criptovaluta usando la potenza di elaborazione degli utenti per il mining di criptovaluta
  • Vendita dei diritti di accesso ad altri criminali per favorire ulteriori truffe a utenti ignari

La maggior parte delle motivazioni per la creazione di una botnet è simile a quelle di altri cybercrimini. In molti casi, gli autori degli attacchi vogliono rubare qualcosa di prezioso o causare problemi ad altri.

In alcuni casi, i cybercriminali creano e vendono l'accesso a un'ampia rete di computer zombie. Gli acquirenti sono solitamente altri cybercriminali che pagano per il noleggio o per l'acquisto. Ad esempio, gli spammer potrebbero noleggiare o acquistare una rete per attuare una campagna di spam su larga scala.

Nonostante i numerosi vantaggi potenziali per un hacker, alcune persone creano botnet solo per il piacere di farlo. Indipendentemente dalle motivazioni, le botnet finiscono per essere utilizzate per tutti i tipi di attacchi, sia contro gli utenti controllati dalla botnet che contro altre persone.

Tipi di attacchi botnet

Anche se le botnet possono costituire da sole un attacco, sono uno strumento ideale per attuare truffe secondarie e cybercrimini su vasta scala. Ecco alcuni degli schemi comuni di attacchi botnet:

DDoS (Distributed Denial-of-Service) è un attacco basato sul sovraccarico di traffico Web su un server per causarne l'arresto. I computer zombie hanno il compito di infestare i siti Web e altri servizi online, causandone l'interruzione per qualche tempo.

Gli schemi di phishing imitano persone e organizzazioni fidate per indurre i bersagli a divulgare informazioni preziose. In genere, si tratta di campagne di spam su larga scala progettate per rubare le informazioni sugli account degli utenti, come le credenziali di accesso alle banche o all'e-mail.

Gli attacchi di forza bruta eseguono programmi progettati per violare gli account Web con la forza. Gli attacchi a dizionario e lo stuffing di credenziali sono utilizzati per sfruttare le password deboli degli utenti e accedere ai loro dati.

Come proteggersi dalle botnet

Considerate le minacce per la sicurezza propria e altrui, è indispensabile proteggersi dal malware botnet.

Fortunatamente, le protezioni software e alcuni piccoli cambiamenti nelle tue abitudini con il computer possono essere d'aiuto.

6 suggerimenti per proteggersi dalle botnet

  1. Migliora tutte le password utente per i dispositivi smart. Con password complesse e lunghe i tuoi dispositivi sono più al sicuro rispetto a password deboli e brevi, come 'pass12345.
  2. Evita di acquistare dispositivi con scarsa sicurezza. Anche se non sempre è facile appurarlo, molti gadget smart home a basso costo tendono a privilegiare la comodità dell'utente rispetto alla sicurezza. Prima di acquistare un prodotto, controlla le recensioni sulle sue caratteristiche di sicurezza e protezione.
  3. Aggiorna le impostazioni e le password di amministrazione su tutti i dispositivi. È opportuno controllare tutte le opzioni di privacy e sicurezza possibili per tutti gli elementi che prevedono connessioni tra dispositivi o a Internet. Anche i frigoriferi smart e i veicoli dotati di Bluetooth hanno password predefinite del produttore per accedere ai sistemi software. Senza aggiornamenti alle credenziali di accesso personalizzate e alla connettività privata, gli hacker possono violare e infettare tutti i tuoi dispositivi connessi.
  4. Diffida degli allegati alle e-mail. L'approccio migliore è evitare completamente di scaricare gli allegati. Quando devi scaricare un allegato, indaga attentamente e verifica l'indirizzo e-mail del mittente. Valuta anche la possibilità di usare un software anti-virus che analizza in modo proattivo gli allegati alla ricerca di malware prima di scaricarli.
  5. Non fare mai clic sui collegamenti presenti nei messaggi che ricevi. SMS, e-mail e messaggi sui social media sono tutti veicoli affidabili per il malware botnet. L'inserimento manuale del collegamento nella barra degli indirizzi ti aiuterà a evitare il poisoning della cache DNS e i download drive-by. Vale anche la pena dedicare un po' di tempo a cercare una versione ufficiale del collegamento.
  6. Installa software anti-virus efficace. Una suite di sicurezza Internet efficace ti sarà utile per proteggere il computer da trojan e altre minacce. Assicurati di acquistare un prodotto che offra copertura per tutti i tuoi dispositivi, compresi i telefoni e i tablet Android.

Le botnet sono difficili da bloccare una volta radicate nei dispositivi degli utenti. Per ridurre gli attacchi di phishing e altri problemi, assicurati di proteggere ogni dispositivo da questa violazione dannosa.

Articoli correlati:

Cos'è una botnet?

Cos'è una botnet?
Kaspersky logo