top of page

10 ans de malwares : les pires botnets des années 2010 (suite)


10 ans de malwares : les pires botnets des années 2010 (suite)

publicité

Mirai

Développé par des étudiants afin de pouvoir lancer des attaques DDoS contre leur université et des serveurs Minecraft, le malware Mirai est devenu la souche de malware IoT la plus répandue aujourd’hui.

Le malware a été conçu pour infecter les routeurs et les appareils intelligents IoT qui utilisent des identifiants Telnet faibles ou inexistants. Les appareils infectés ont été assemblés dans un botnet spécialement conçu pour lancer des attaques DDoS.

Le botnet a été exploité en privé pendant près d’un an avant qu’une série d’attaques DDoS n’attire trop l’attention sur ses opérateurs. Dans une tentative de dissimuler leurs traces, les auteurs ont rendu public le code source de Mirai, espérant que d’autres créeraient leurs propres botnets Mirai et empêcheraient les forces de l’ordre de suivre leur botnet d’origine.

Le plan n’a pas réussi, et la publication du code a rendu les choses bien pires, car plusieurs acteurs malveillants ont alors eu accès gratuitement à un outil puissant. Depuis lors, les botnets basés sur Mirai harcèlent quotidiennement les serveurs Internet avec des attaques DDoS, certains rapports indiquant que le nombre de différents botnets Mirai actifs s’élève à plus de 100.

Depuis la publication du code source de Mirai fin 2016, d’autres auteurs de logiciels malveillants ont utilisé le code Mirai pour créer leurs propres variantes personnalisées, la plus connue étant Okiru, Satori, Akuma, Masuta, PureMasuta, Wicked, Sora, Owari, Omni et Mirai OMG.

Necurs

Necurs est un botnet de spam qui a été vu pour la première fois vers 2012 et qui aurait été créé par le même groupe à l’origine du cheval de Troie bancaire Dridex (à savoir le groupe TA505).

Le seul but du botnet est d’infecter les ordinateurs Windows, puis de les utiliser pour envoyer des spams. Tout au long de sa vie, le botnet a envoyé du spam pour toutes sortes d’escroqueries :

  1. Spam Viagra et pharma

  2. remèdes miracles

  3. sites de rencontres spam

  4. arnaques « pump and dump » de stock/cryptomonnaie

  5. spam diffusant d’autres logiciels malveillants, tels que le cheval de Troie bancaire Dridex, le ransomware Locky ou le ransomware Bart

Le botnet a atteint son apogée en 2016-2017, et rassemblait alors 6-7 millions d’appareils sur une base mensuelle. Le botnet est toujours vivant aujourd’hui, mais n’est pas aussi actif qu’il y a quelques années. Voici une courte liste de rapports techniques sur le botnet Necurs et certaines de ses campagnes.

Ramnit

Ramnit est un autre botnet créé pour contrôler le cheval de Troie bancaire éponyme. Il est apparu en 2010 et était basé sur le code source divulgué de l’ancien cheval de Troie bancaire ZeuS.

Dans sa première incarnation, le botnet a atteint une taille de 350 000 bots, ce qui a attiré l’attention des fournisseurs de cybersécurité et des forces de l’ordre.

Les autorités ont coulé une première version en février 2015, mais n’ayant pas réussi à arrêter ses créateurs, les opérateurs Ramnit ont refait surface avec un nouveau botnet quelques mois plus tard.

Ramnit est toujours actif aujourd’hui, mais loin des chiffres qu’il atteignait à son apogée, en 2015.

Retadup

Le malware Retadup et son botnet ont été détectés pour la première fois en 2017. Il s’agissait d’un cheval de Troie voleur d’informations de base qui a volé divers types de données à des hôtes infectés et envoyé les informations à un serveur distant.

Le cheval de Troie Retadup est passé sous le radar pendant la plus grande partie de sa vie jusqu’en août, lorsque Avast et la police française sont intervenus pour éliminer le botnet et demander au malware de s’auto-supprimer de tous les hôtes infectés.

Ce n’est qu’à ce moment-là que les autorités ont découvert que Retadup avait été une opération à grande échelle, ayant infecté plus de 850 000 systèmes à travers le monde, et principalement en Amérique latine.

Smominru (Hexmen, MyKings)

Smominru – également suivi sous les noms de MyKings ou Hexmen – est le plus grand botnet d’aujourd’hui dédié à l’extraction de cryptomonnaie.

Il le fait sur les serveurs de bureau et d’entreprise, auxquels il accède généralement en exploitant des systèmes non corrigés.

Le botnet est apparu en 2017, lorsqu’il a infecté plus de 525 000 ordinateurs Windows et extrait plus de 2,3 millions de dollars de Monero (XMR) pour le compte de ses opérateurs, au cours de ses premiers mois de vie.

Malgré une baisse des prix des cryptomonnaies, le botnet est toujours actif aujourd’hui, infectant environ 4700 nouveaux appareils chaque jour, selon un rapport publié au cours de l’été.

TrickBot

TrickBot fonctionne de manière similaire à Emotet. C’est un ancien cheval de Troie bancaire qui est devenu un outil de diffusion de logiciels malveillants et a adopté un système de paiement à l’installation. Les opérateurs gagnent maintenant de l’argent en installant des logiciels malveillants d’autres groupes criminels sur les ordinateurs qu’ils infectent.

Le botnet est apparu pour la première fois en 2016, et ses versions initiales partageaient du code avec le cheval de Troie bancaire Dyre, aujourd’hui disparu. À l’époque, des chercheurs en sécurité ont suggéré que des anciens du gang Dyre d’origine avaient créé TrickBot après que les autorités russes aient sévi contre certains des membres du groupe au début de l’année.

Cependant, TrickBot n’a pas longtemps fonctionné comme un cheval de Troie bancaire. Il s’est lentement transformé en un diffuseur de logiciels malveillants à l’été 2017, à peu près au moment où Emotet amorçait son évolution.

Bien qu’il n’y ait aucune preuve que les deux botnets sont gérés par le même groupe, il existe une collaboration entre les deux groupes. Le gang TrickBot loue souvent l’accès à des ordinateurs qui ont été précédemment infectés par Emotet, où ils installent leur cheval de Troie, ce que l’équipe Emotet tolère, même si TrickBot est l’un de leurs principaux concurrents.

La taille du botnet TrickBot a varié au fil des ans, de 30 000 à 200 000, selon les sources des rapports et la visibilité dont ils disposent sur l’infrastructure du logiciel malveillant.

WireX

WireX est l’un des rares cas heureux de cette liste. Il s’agit d’un botnet de malware qui a été supprimé dans le mois qui a suivi sa création, après que plusieurs sociétés de sécurité et réseaux de diffusion de contenu se soient unies pour supprimer son infrastructure.

Le botnet a été construit grâce au malware WireX Android, qui est apparu à l’improviste en juillet 2017 pour infecter plus de 120000 smartphones en quelques semaines.

Alors que la plupart des logiciels malveillants Android sont aujourd’hui utilisés pour des fraudes publicitaires et la fraude aux clics, ce botnet était extrêmement bruyant, utilisé pour lancer de puissantes attaques DDoS.

Cela a attiré immédiatement l’attention des entreprises de sécurité et, dans un effort coordonné, l’infrastructure de back-end du botnet et du malware a été supprimée à la mi-août de la même année. Des entreprises comme Akamai, Cloudflare, Flashpoint, Google, Oracle Dyn, RiskIQ, Team Cymru et quelques autres ont participé à l’opération.

ZeroAccess

ZeroAccess est un botnet qui a été construit à l’aide du rootkit ZeroAccess. Les opérateurs du botnet l’ont utilisé pour gagner de l’argent en téléchargeant d’autres logiciels malveillants sur des machines infectées ou en faisant de la fraude aux clics sur les annonces Web.

Le botnet a été repéré pour la première fois en 2009 et a été fermé en 2013 à la suite d’une opération de retrait coordonnée par Microsoft.

Selon Sophos, le botnet a infecté plus de 9 millions de systèmes Windows au cours de sa vie, a touché jusqu’à un million d’appareils infectés en même temps et a aidé les opérateurs à gagner environ 100 000 $ par jour.

Une collection de rapports techniques ZeroAccess est disponible sur Malpedia. Ce rapport de Symantec est également assez complet.

Source : ZDNet.com

0 vue0 commentaire

Comments


bottom of page