O que é uma botnet?

O que é uma botnet?

Uma botnet (a forma reduzida de robot network, rede de bots ou rede de robôs) é uma grande coleção de dispositivos infectados, chamados de zumbis, que recebem comandos de um hacker.

As botnets são fundamentais para executar vários tipos de ataques, como os ataques de DDoS que interrompem comunicações entre cliente-servidor, criando uma rede de computadores infectados comandados por um bot herder (um dispositivo que 'pastoreia' e organiza os demais dispositivos infectados) ou funcionando de forma independente.

Como uma botnet funciona?

Quando seu computador, tablet, roteador, smartphone ou qualquer dispositivo com conexão à internet é invadido com certos tipos de malware, ele pode espalhar essa infecção para outros dispositivos, criando uma botnet ainda mais ampla. Na maioria das vezes, os usuários não fazem ideia de que há algo de errado com o sistema operacional deles, já que grande parte destes códigos e atividades maliciosas ocorre de maneira silenciosa, quase que totalmente imperceptível.

Os hackers usam botnets para maximizar seus esforços criminosos e conduzir o máximo de ações maliciosas possíveis. Um hacker que depende de um único dispositivo conta com uma capacidade limitada de causar danos, cometer crimes e ganhar dinheiro. Mas, se o hacker conseguir acesso a uma rede inteira de dispositivos infectados e transformá-los em bots, então este hacker vai poder agir em uma escala muito maior.

Agentes maliciosos procuram por vulnerabilidades de sistemas e criam botnets chamadas de bot herders. Muitas vezes, os cibercriminosos alugam estes bot herders para outros hackers. Então, manter e expandir estas redes de bots pode ser algo lucrativo mesmo que os donos delas não conduzam ataques por conta própria.

Tipos de botnets

Estes são os principais tipos e categorias de botnets:

Modelo cliente-servidor

Neste modelo, uma rede é estabelecida e operada por um único servidor que age como botmaster (ou mestre dos bots). Os cibercriminosos orquestram todas as operações e mantém a comunicação com os dispositivos infectados. Cada dispositivo bot se conecta ao centro de controle para receber instruções e executar novos comandos. Contudo, um botmaster pode ser detectado facilmente e o servidor pode ser desligado.

Modelo peer-to-peer

A botnet peer-to-peer (ou P2P ou pessoa para pessoa) é um tipo de botnet descentralizada, o que significa que não há um servidor central responsável pelas operações. Cada bot pode agir tanto como central de controle quanto como cliente. Mesmo que seja possível barrar alguns bots, isto não impede as operações como um todo. As botnets de P2P são muito mais complexas e difíceis de combater e pode ser difícil descobrir os responsáveis que se escondem atrás delas.

Botnets de DDoS

São botnets que existem especificamente para realizar ataques de DDoS contra plataformas, aplicativos, serviços e qualquer outro tipo de atividade que dependa de conectividade.

Botnets Spam

Essas botnets existem especialmente para disseminar mensagens de spam, seja via e-mail, SMS, apps de trocas de mensagens, redes sociais ou até mesmo via chamadas telefônicas.

Botnets de Trojan Bancário

São botnets usadas pelos cibercriminosos para disseminar vírus trojan (ou vírus Cavalo de Troia) usado para infectar dispositivos e permitir o roubo de contas bancárias e dinheiro das vítimas.

Botnets de Fraude de Clicks

São as botnets estruturadas para clicar em anúncios, links de afiliados, assistir conteúdo ou qualquer interação que gere ganhos financeiros pelo tráfego. Como as interações não são reais e humanas, esses cliques são fraudulentos e geram prejuízos para programas de recompensa por tráfego.

Botnets de Roubo de Credenciais

São botnets geradas principalmente para disseminar diversos golpes e ciberataques para roubar dados pessoais e credenciais de acesso de contas bancárias, redes sociais, contas de e-mail e quaisquer outros acessos e contas das vítimas.

Botnets de IoT

As botnets de IoT infectam dispositivos conectados à Internet das Coisas, como dispositivos inteligentes (câmeras, robôs aspiradores, gerenciadores de smart homes, etc.), para estruturar uma botnet.

Botnets de Proxy

Essa categoria de botnets é formada infectando e invadindo servidores de proxy que fazem a comunicação entre os dispositivos dos usuários e a Internet como um todo, interferindo no funcionamento de serviços que dependem de conectividade e da comunicação entre clientes e servidores.

Botnets de IRC (Internet Relay Chat)

São redes de dispositivos infectados controlados de forma remota por servidores e canais de IRC. Eles são controlados pelos comandos executados pelo bot herder, ou o dispositivo controlador, que envia esses comandos através desses canais de IRC, permitindo que eles executem as ações maliciosas contidas nessas instruções.

Botnets de HTTP

São as botnets baseadas na web com uso do protocolo HTTP, usado para enviar comandos maliciosos para os dispositivos infectados, permitindo disfarçar esse tráfego de bots como um tráfego web normal.

Botnets de P2P (Peer-to-Peer)

Essas botnets usam sistemas de compartilhamento P2P (Peer-to-Peer ou de pessoa para pessoa) para disseminar malware e infectar mais dispositivos, permitindo a ampliação dessa rede de bots. Além disso, ao disseminar conteúdo nocivo, disfarçam esse conteúdo malicioso de conteúdo normal. Ao usar um serviço P2P para baixar software, por exemplo, a vítima pode acabar infectando o próprio dispositivo com malware, transformando-o em parte da botnet.

Botnets Mobile

São botnets criadas com dispositivos móveis (smartphones, tablets e afins) infectados e transformados em bots. Elas têm uma alta capacidade de mobilidade, principalmente pela conexão em diversas redes públicas de Wi-Fi, servindo como vetores de disseminação de conteúdo nocivo para os usuários dessas redes.

Os ataques de botnet mais comuns

Em 2020, diversos bancos e instituições financeiras na Austrália receberam e-mails com ameaças de que ataques de DDoS seriam executados a menos que as vítimas pagassem um valor. Estes tipos de ameaças são cada vez mais comuns, principalmente para grandes empresas que dependem da internet. Se um ataque de DDoS acontece e derruba o site de uma grande empresa, por exemplo (ou uma aplicação, ou uma rede inteira), então cada minuto de indisponibilidade do serviço pode gerar milhões de dólares em prejuízos.

Estes são os tipos mais frequentes de ciberataques executados com redes de botnets:

• Ataques de DDoS (Distributed Denial of Service): hackers atacam um site, servidor ou rede em específico usando um exército de bots. Os bots congestionam a rede com um tráfego excessivo, fazendo com que os serviços travem, negando acesso a usuários reais. Há vários motivos para os cibercriminosos conduzirem ataques de DDoS (ataques de negação de serviço), como interromper serviços de empresas rivais, sabotar campanhas políticas, executar ações de vingança, fazer hackativismo (promover uma agenda política ou mudança social), conduzir guerra cibernética entre países e obter ganhos financeiros.
• Ataques de phishing: hackers usam e-mails de phishing para conduzir ataques de ransomware, espalhar spam, roubar suas informações pessoais ou até mesmo adicionar seu dispositivo ao exército de bots deles. Especialistas em cibersegurança afirmam que mais de 3 bilhões de e-mails falsos são enviados todos os dias, o que não seria viável sem o uso de botnets.
• Ataques de força bruta: os hackers também usam botnets para conduzir ataques de força bruta, o que os permite invadir redes mais privadas. As botnets conseguem fazer vários testes de combinações de senhas que geralmente são as mais usadas e enviar os resultados para um centro de controle.
• Ataques com malware: os dispositivos que fazem parte da botnet disseminam malware para infectar outros dispositivos e ampliar a botnet, além de permitir uma série de outras ações maliciosas e crimes por parte dos hackers, como roubo de identidade, roubo de dados pessoais e credenciais, fraudes bancárias e golpes financeiros e disseminação de mensagens de phishing e todo tipo de ações nocivas.
• Ataques contra dispositivos de IoT: são ataques que têm como objetivo infectar dispositivos que formam a Internet das Coisas, como dispositivos de smart home em geral, permitindo que os cibercriminosos acessem câmeras de monitoramento de casas e empresas, acessem registros e históricos dos usuários e consigam praticar uma série de ações nocivas.

Como os hackers controlam uma botnet?

Controlar uma botnet pode variar de acordo com o nível de complexidade da botnet. Quanto mais dispositivos formam uma botnet, tecnicamente mais difícil é manter o controle dessa rede.

Mas, no geral, os cibercriminosos controlam essas redes via servidores nos quais eles são organizados, dispositivos de herd (controle), infraestrutura de Comando e Controle (C&C), seja via modelos centralizados (cliente-servidor) ou descentralizados (ponto a ponto).

Algumas botnets agem de forma mais autônoma, sendo mais difíceis de derrubar. Outras possuem uma estrutura mais centralizada, e se esses dispositivos de herd são derrubados ou servidores específicos são interrompidos, a botnet inteira pode ser desconectada.

Como saber se o seu dispositivo faz parte de uma botnet

Pode ser difícil perceber se o seu dispositivo foi transformado em um zumbi que faz parte de uma botnet. Mas há alguns sinais que podem indicar se ele foi infectado:

• Seu dispositivo fica mais lento e trava com mais frequência.
• E-mails suspeitos enviados para os contatos da sua lista.
• Seu dispositivo leva mais tempo para inicializar e para desligar, ou até mesmo enfrenta problemas que impedem o desligamento normal.
• Você não consegue baixar nenhuma atualização de sistema, principalmente as atualizações de segurança.
• A conexão com a internet fica visivelmente mais lenta.
• Você percebe programas estranhos sendo executados no seu dispositivo.
• Você percebe a presença de programas que você não baixou nem instalou.
• Seu navegador sofre alterações como a página inicial e redirecionamentos para sites estranhos quando você digita ou pesquisa algo.

10 dicas para se proteger contra as botnets

1. 1.Atualize seu software regularmente. Os hackers sempre procuram por vulnerabilidades de software para infectar as redes e os dispositivos. Atualizar seus sistemas operacionais, programas e aplicativos ajuda a corrigir vulnerabilidades que poderiam abrir brechas para os cibercriminosos.
2. 2.Não clique em links suspeitos. Os ataques de phishing são muito comuns e o principal objetivo é disseminar malware, roubar dados e dinheiro das vítimas. Basta um único clique em um link contaminado ou um anexo infectado para transformar seu dispositivo em um zumbi. Nós recomendamos examinar cuidadosamente todos os links e anexos que você receber. Hackers podem se passar por organizações de governo e empresas famosas para te fazer pensar que eles são confiáveis. Não baixe nem clique em nada sem ter certeza absoluta sobre a confiabilidade de quem enviou o conteúdo.
3. 3.Use uma conexão com a Internet que seja criptografada e segura (VPN). Uma rede virtual privada (VPN) criptografa seu tráfego de internet para que ninguém possa ver o que você faz online. Os cibercriminosos muitas vezes usam roteadores vulneráveis para infectar os dispositivos que se conectam a eles com malware, seja por meio de um ponto falso de Wi-Fi ou por atacar diretamente sua rede doméstica. Com uma única conta da NordVPN você consegue proteger até 10 dispositivos, incluindo seu roteador, diminuindo os riscos de sofrer com ataques de botnets.
4. 4.Configure senhas fortes e únicas para todos os seus dispositivos e contas. Não use a mesma senha para todas as suas contas. Certifique-se de mudar todas as senhas do seu roteador e seus dispositivos IoT para evitar ataques destinados a eles. Senhas fortes e únicas são fundamentais e incluem letras maiúsculas e minúsculas, números e caracteres especiais. Use um gerenciador de senhas como o NordPass para melhorar a proteção de todas as suas contas.
5. 5.Ative um firewall no seu roteador e nos seus dispositivos pessoais. Mantenha um firewall ativo diretamente no seu roteador e nos seus dispositivos pessoais. Essa é uma barreira de segurança fundamental para filtrar as solicitações que chegam até sua rede e seus dispositivos.
6. 6.Evite clicar em links ou anexos de e-mail suspeitos. Se você não tiver certeza sobre a procedência de um link ou anexo, não clique nem baixe nada. Denuncie o conteúdo como spam e bloqueie o remetente. Essas são portas de entradas muito perigosas para permitir a invasão do seu dispositivo, transformando-o em parte de uma botnet.
7. 7.Verifique seus dispositivos regularmente para identificar atividades suspeitas. Faça verificações nos seus dispositivos para identificar malware e atividades irregulares que podem ser um sinal de infecção por uma botnet.
8. 8.Desative dispositivos de IoT desnecessários ou altere as credenciais padrão. Evite manter dispositivos desnecessários conectados e altere as credenciais de acesso definidas como padrão pelos fabricantes. Isso diminui as portas de entradas que podem ser usadas pelos cibercriminosos para capturar seus dispositivos e aglutiná-los às botnets.
9. 9.Busque informações sobre as ciberameaças mais comuns. É importante que você e as pessoas ao seu redor se informem sobre os principais tipos de ciberameaças e estratégias usadas pelos criminosos e golpistas para adotar medidas preventivas. Afinal, a prevenção é o melhor remédio.
10. 10.Use ferramentas de monitoramento de rede para detectar anomalias. Ferramentas de gerenciamento e monitoramento de redes permitem identificar alterações no fluxo normal nelas. Essas alterações no tráfego podem ajudar a identificar a presença de botnets e de outras ações nocivas que prejudicam a rede e os dispositivos conectados a ela.