Cosa sono i botnet e come possono trasformare il tuo computer in un'arma da hacker?

Un giorno il tuo computer inizia a comportarsi in modo strano. È più lento del solito, le ventole si accendono improvvisamente al massimo e, anche se non stai facendo nulla di impegnativo, sembra che qualcosa in background stia consumando le risorse del sistema. Purtroppo è molto probabile che tu sia diventato inconsapevolmente parte di un botnet, una delle armi più pericolose nell'arsenale dei criminali informatici.

Cos'è un botnet?

Un botnet è una rete di computer e dispositivi infetti controllati segretamente da un attaccante (spesso chiamato "botmaster"). Il nome deriva dalla fusione delle parole "robot" e "network" (rete), descrivendo in modo esemplare la sua natura: un esercito di "robot" informatici pronti a eseguire gli ordini del loro padrone.

Ogni computer infetto in questa rete è chiamato "bot" o "zombie". Quello che rende i botnet così pericolosi è la loro forza collettiva. Mentre un singolo computer infetto ha un potenziale limitato, migliaia o addirittura milioni di dispositivi connessi creano una potente capacità di elaborazione, che può essere sfruttata per varie attività dannose.

Come fa un computer a diventare parte di un botnet?

Il processo, attraverso il quale il tuo computer viene trasformato in un "bot" obbediente, inizia con un'infezione da malware.

Ci sono diversi modi comuni per cui questo può accadere:

• Email di phishing - Ricevi un'email apparentemente legittima con un link o un allegato contenente un codice dannoso.
• Download drive-by - Visiti un sito web compromesso che scarica e installa automaticamente malware senza che tu ne sia a conoscenza.
• Software vulnerabile - Gli attaccanti sfruttano le falle di sicurezza nelle applicazioni o nel sistema operativo non aggiornati.
• Ingegneria sociale - Sei persuaso a installare un programma che in realtà è un cavallo di Troia contenente una backdoor per gli attaccanti.

Dopo un'infezione riuscita, nel tuo sistema si insedia un malware che generalmente rimane inosservato. È progettato per nascondersi dai programmi antivirus e dagli utenti. Successivamente si connette a un server di comando e controllo (C&C) - il nodo centrale da cui il botmaster gestisce l'intera rete.

Come utilizzano gli attaccanti i computer infetti?

Una volta creato il botnet, può essere usato per varie attività dannose. Esaminiamo di seguito quelle più conosciute.

Attacchi DDoS (Distributed Denial of Service)

Il più noto uso dei botnet sono gli attacchi DDoS. In questo caso, l'attaccante ordina a tutti i bot nella rete di inviare simultaneamente richieste a un servizio web o server specifico. L'enorme quantità di traffico sovraccarica il server di destinazione, che non è più in grado di elaborare richieste legittime.

Un esempio è il botnet Mirai, che nel 2016 ha causato uno dei più grandi attacchi DDoS della storia, mettendo temporaneamente fuori servizio importanti servizi internet tra cui Twitter, Netflix e Reddit.

Invio di spam e diffusione di malware

Il tuo computer può essere utilizzato per inviare email indesiderate o diffondere ulteriormente malware. In questo modo, gli attaccanti possono distribuire spam senza rivelare la loro vera identità, poiché le email provengono da computer legittimi ma compromessi.

Furti di dati sensibili

Il botnet può essere dotato di funzioni per monitorare i tasti premuti, catturare schermate o esaminare i file. Questo consente agli attaccanti di rubare le tue password, numeri di carte di credito, informazioni personali o segreti commerciali.

Estrazione di criptovalute

Negli ultimi anni, è diventato popolare utilizzare la potenza di calcolo dei botnet per estrarre criptovalute (chiamato cryptojacking). Il tuo computer può estrarre Bitcoin, Monero o altre criptovalute in background, mentre tutti i guadagni finiscono nelle tasche dell'attaccante. Nel frattempo, tu paghi l'aumento del consumo di elettricità e soffri il calo delle prestazioni del tuo dispositivo.

Noleggio di botnet

Molti attaccanti noleggiano persino i loro botnet ad altri criminali informatici - si tratta di un modello noto come "Botnet-as-a-Service" (BaaS). A pagamento, praticamente chiunque può affittare un botnet per i propri scopi dannosi, senza la necessità di conoscenze tecniche necessarie per crearlo.

Botnet noti e i loro impatti

La storia dei botnet è piena di esempi di reti devastanti che hanno causato notevoli danni.

Conficker

Conficker, scoperto a fine 2008, crebbe rapidamente fino a diventare uno dei botnet più noti nella storia del crimine informatico. Al suo apice nel 2009, infettò oltre 10 milioni di computer Windows in tutto il mondo, il che lo rese una delle più grandi reti di botnet di tutti i tempi.

Ciò che rendeva Conficker straordinariamente pericoloso era la sua capacità di aggiornarsi costantemente e resistere alla rilevazione. Il malware era in grado di bloccare l'accesso ai siti web di sicurezza, impedire il download di aggiornamenti e disponeva di funzioni avanzate per cancellare le tracce.

Nonostante sia stata creata una speciale task force contro di lui (Conficker Working Group), che includeva importanti aziende di sicurezza, Conficker rimane ancora attivo parzialmente, anche se su scala molto ridotta.

Gameover Zeus

Gameover Zeus emerse intorno al 2011 e divenne rapidamente uno dei malware finanziari più temuti. Specializzato nel furto di dati bancari e password, si stima che abbia causato danni finanziari superiori a 100 milioni di dollari.

A differenza dei suoi predecessori, utilizzava una rete di comunicazione peer-to-peer crittografata invece dei tradizionali server C&C, il che rendeva molto difficile la sua individuazione e rimozione. Questo botnet era spesso associato al ransomware CryptoLocker, che criptava i file delle vittime e richiedeva un riscatto.

Nel 2014, un'ampia operazione internazionale chiamata "Operation Tovar" riuscì a interrompere temporaneamente l'infrastruttura del botnet. Il suo creatore, il russo Evgenij Bogačev, è stato incriminato ed è ancora nella lista dell'FBI con una ricompensa di 3 milioni di dollari per informazioni che portino al suo arresto.

Mirai

Mirai, apparso nel 2016, ha portato a un cambiamento significativo nel concetto di botnet, concentrandosi soprattutto sui dispositivi IoT come telecamere, router e monitor per bambini. Il botnet utilizzava una strategia semplice ma efficace: scansionava sistematicamente internet cercando di accedere ai dispositivi utilizzando un database di credenziali predefinite.

Dato che molti utenti non cambiano mai le impostazioni di fabbrica, questo approccio era sorprendentemente efficace. Mirai ha guadagnato attenzione mondiale quando il 21 ottobre 2016 ha effettuato un massiccio attacco DDoS alla società Dyn, fornitore di servizi DNS.

L'attacco ha temporaneamente messo fuori servizio importanti servizi internet come Twitter, Netflix, Reddit e molti altri. Ciò che era più preoccupante di Mirai è che il suo codice sorgente era stato pubblicato online, portando alla creazione di molte varianti e imitazioni.

Mirai ha praticamente avviato una nuova era di botnet IoT, che continuano a rappresentare una minaccia significativa a causa del crescente numero di dispositivi IoT spesso insufficientemente sicuri.

Emotet

Emotet è apparso per la prima volta nel 2014 come un relativamente semplice trojan bancario, ma si è evoluto in una sofisticata infrastruttura modulare per la distribuzione di malware. È stato descritto come "il malware più pericoloso del mondo" fino alla sua distruzione da parte di un'operazione di polizia internazionale nel gennaio 2021.

La sua principale forza risiedeva nella capacità di diffondersi attraverso email compromesse, che contenevano spesso documenti dannosi e utilizzavano l'ingegneria sociale per convincere le vittime ad abilitare le macro.

Emotet funzionava come "malware-as-a-service" ed era noleggiato ad altri criminali informatici per distribuire ulteriori software dannosi, inclusi ransomware come Ryuk o trojan bancari come TrickBot. La sua modularità permetteva agli operatori di adattare l'attacco a specifici obiettivi e cambiare costantemente tattiche per evitare la rilevazione.

Anche se è stato neutralizzato nel gennaio 2021 da un'azione coordinata delle forze di polizia di otto paesi (inclusi Paesi Bassi, Germania e USA), ci sono timori che possa riemergere in futuro, come è accaduto con molti altri botnet.

Come sapere se il mio computer è parte di un botnet?

Rilevare un botnet può essere difficile, poiché il malware moderno è progettato per rimanere nascosto e inosservato. Dovresti prestare attenzione se il computer rallenta senza motivo apparente, la ventola si accende frequentemente al massimo anche durante il normale lavoro o rilevi un'attività di rete insolita quando non stai utilizzando attivamente il computer.

Altri segnali di avvertimento possono essere un comportamento strano dei browser web, come reindirizzamenti inattesi o l'apertura automatica di nuove schede. È anche sospetto qualsiasi cambiamento inspiegabile nelle impostazioni del sistema, eventi di sistema insoliti o messaggi di errore che compaiono frequentemente.

Un sintomo molto preoccupante è quando i tuoi contatti sui social network iniziano a ricevere messaggi che non hai inviato consapevolmente - questo può segnalare che gli attaccanti hanno ottenuto l'accesso ai tuoi account o che il tuo computer sta attivamente diffondendo malware.

Come proteggere il tuo dispositivo dai botnet?

La prevenzione è sempre meglio della cura, specialmente quando parliamo di botnet. Di seguito abbiamo elencato diversi modi per proteggere i tuoi dispositivi.

Mantieni il software aggiornato

Aggiornamenti regolari del sistema operativo e delle applicazioni sono essenziali. I produttori di software rilasciano regolarmente patch di sicurezza che risolvono vulnerabilità che potrebbero essere sfruttate per infettare il tuo dispositivo.

Usa password forti e autenticazione a due fattori

Password forti e uniche per ogni account e l'autenticazione a due fattori riducono significativamente il rischio di accessi non autorizzati. Considera di usare un gestore di password per tenere traccia delle tue credenziali di accesso. Puoi anche utilizzare applicazioni di autenticazione.

Sii cauto quando apri email e scarichi file

Non aprire allegati o link in email da mittenti sconosciuti. Anche se un'email sembra provenire da qualcuno che conosci, se è inaspettata o sembra sospetta, verifica la sua autenticità attraverso un altro canale di comunicazione. Puoi, ad esempio, chiamare la persona o contattarla tramite social network.

Installa software solo da fonti affidabili

Scarica e installa applicazioni solo dai resoconti ufficiali o direttamente dai siti web del produttore. Evita i software pirata, che spesso contengono malware.

Utilizza un software di sicurezza di qualità

Investi in una soluzione di sicurezza che offra protezione in tempo reale contro diversi tipi di minacce. Inoltre, esegui regolarmente una scansione completa del sistema.

Proteggi la tua rete domestica

Cambia le credenziali di accesso predefinite sul tuo router, usa la crittografia WPA3 se disponibile e aggiorna regolarmente il firmware del router.

Cosa fare se il mio computer è infetto?

Se sospetti che il tuo computer sia parte di un botnet, i seguenti passaggi possono aiutarti:

1. Scollega il dispositivo da Internet per impedirgli di comunicare ulteriormente con il server C&C o di svolgere attività dannose.
2. Cambia tutte le password da un altro dispositivo non infetto.
3. Esegui una scansione completa con un programma antivirus in modalità provvisoria, il che limita la capacità del malware di difendersi attivamente.
4. Utilizza strumenti specializzati per la rimozione dei botnet offerti da società di sicurezza verificate.
5. Considera di reinstallare il sistema operativo in caso di un'infezione grave. Questo è il metodo più affidabile per rimuovere malware resistente, sebbene richieda tempo.

Ricorda che siamo tutti sulla stessa barca nella lotta contro i botnet. Ogni computer che rimane non protetto può diventare un'arma nelle mani dei cybercriminali. Puoi difenderti mostrando cautela quando navighi in internet e installando programmi antivirus di qualità.