O que é botnet? Definição e Prevenção

As botnets são redes de computadores e outros aparelhos controlados à distância por um hacker, através de malware. O malware dá ao hacker funções de controlo nos computadores infetados, que podem ser utilizados para outros fins.

Os hackers dedicam-se a “recrutar” computadores à distância de modo a utilizar as suas capacidades (processamento, memória, IP, etc.) para cometer outros crimes. O computador (ou telemóvel, tablet, etc.) deixa de estar às ordens apenas do seu proprietário e passa a responder também ao hacker, tornando-se num bot, isto é, num robô. À medida que o hacker consegue infetar mais e mais aparelhos com o seu malware, a sua rede torna-se cada vez maior e mais poderosa.

As formas de infetar o seu computador com malware para que integre uma botnet são idênticas às usadas pelos hackers em geral. Descarregar anexos maliciosos de e-mails ou clicar em links que o direcionam para sites que disseminam malware são dois exemplos.

Um computador infetado pelo malware de uma botnet raramente causa danos visíveis ao seu utilizador. O hacker não pretende pedir um resgate, como no caso do ransomware. Pelo contrário: o hacker pretende que o computador em questão continue a funcionar normalmente. O utilizador poderá ocasionalmente sentir o seu computador mais lento, mas não chega a aperceber-se do que se passa. Esta é uma modalidade de hacking especialmente insidiosa, mas não menos desgastante a longo prazo – perderá paciência e muito tempo!

Existem dois grandes modelos de botnet, semelhantes aos da arquitetura habitual de redes informáticas dedicadas a atividades legítimas: o cliente-servidor e o peer-to-peer.

Modelo cliente-servidor

O hacker constrói uma rede utilizando um servidor de comando e controlo, a partir do qual controla os computadores que lhe obedecem. É eficaz, mas mais fácil de ser detetado pelas autoridades.

Modelo peer-to-peer

Cada dispositivo infetado pelo hacker tem a possibilidade de comunicar autonomamente com outros. Este modelo descentralizado é mais difícil de combater.

Vejamos que fins maliciosos pode uma ferramenta deste género atender.

Venda de dados pessoais

Uma botnet pode servir para captar os dados pessoais (nomes, apelidos, números de cartão de crédito, etc. – até mesmo passwords!) de milhares ou milhões de utilizadores. Além de conseguir os dados pessoais associados aos aparelhos infetados, o hacker usará o próprio aparelho para infetar novos computadores ou telemóveis, e assim sucessivamente. Uma tal base de dados pode ser vendida a terceiros com grande lucro.

Envio de spam através de pessoas conhecidas

Uma das formas mais eficazes de enviar spam é através de pessoas conhecidas da vítima, para que esta não suspeite de que se trata de um “trojan horse” ou outro tipo de ciberataque. Uma botnet que permita enviar um e-mail que pareça ser proveniente de pessoas reais faz com que esse spam seja muito mais credível do que se vier de desconhecidos.

Ataques DDoS

Um ataque DDoS visa “deitar abaixo” um determinado website ou serviço, no sentido em que pode ficar inoperacional por um grande período de tempo. O ataque funciona simplesmente através do envio de um grande número de pedidos de informação (“requests”) ao website alvo, de modo a que não consiga dar resposta a todas as solicitações. As botnets são particularmente vocacionadas para este tipo de ataques.

Ataques de phishing

O lançamento de manobras de phishing é tão mais bem sucedido quanto maior for o número de “iscos” lançados a um também maior número de vítimas. O uso de chatbots que simulem respostas humanas pode tornar estes ataques especialmente eficazes.

“Credential harvesting”

Também designado como “recolha de credenciais”, este tipo de ciberataque envolve a identificação e recolha de dados pessoais, nomeadamente nomes de utilizador e senhas. O cibercriminoso acederá mais tarde às contas das vítimas (bancárias, por exemplo) usando esses dados, podendo desviar dinheiro ou cometer crimes diversos.

Distribuição de malware

Para distribuir malware em grande escala é necessária capacidade de computação (processamento, memória, etc.). Se um cibercriminoso conseguir “recrutar” milhares de computadores e ordenar-lhes que se dediquem a essa tarefa, os números de malware distribuído com sucesso aumentarão.

Fraude com cliques

Atualmente é fácil identificar uma fraude com cliques feita pela mesma pessoa e com o mesmo IP, clicando repetidas vezes no mesmo anúncio para prejudicar o anunciante. Mas se o criminoso utilizador 1000 computadores diferentes para fazer esses cliques, as respetivas visualizações parecerão legítimas.

Ataques de força bruta

Imagine que possui 1 milhão de tentativas para tentar adivinhar uma password. Humanamente é impossível, mas um software poderá fazê-lo. Se tiver uma botnet, isto é, um “exército” de computadores a fazer isso por si, será mais rápido e eficiente.

E-mails de spam

O envio de spam é muito mais eficiente se for feito com recurso a muitos computadores, trabalhando em simultâneo, do que por apenas um só.

Ciberfraudes financeiras

Um cibercriminoso pode usar uma botnet para cometer diversos crimes financeiros. Os mais simples são a compra de itens digitais, como cartões presente ou bilhetes para eventos, e proceder à sua revenda, conversão ou outra forma de tirar vantagem da automatização das operações.

Invasões direcionadas

Também designadas como “targeted intrusions”, tratam-se de conseguir aceder a uma rede fechada (corporativa, de um organismo público, etc.) recorrendo a um ponto vulnerável. Uma botnet agindo concertadamente terá mais hipóteses de sucesso que um aparelho isolado.

• Zeus, em atividade entre 2007 e 2010, constituiu uma botnet que causava danos diretos aos donos dos computadores infetados, roubando-lhes dados bancários através de keystroke logging.
• Parcialmente baseado no anterior, o GameOver Zeus tem vindo a ser utilizado para fraudes bancárias e para disseminar o ransomware CryptoLocker.
• Methbot foi um ataque botnet criado pelo cibercriminoso Aleksandr Zhukov. Apresentando-se como uma empresa de anúncios online, Zhukov cobrava aos clientes por visualizações falsas. Os anúncios eram visionados apenas pela sua rede de computadores zombie, e não por pessoas reais. Zhukov foi condenado a dez anos de prisão em 2021.
• O Mirai é um dos softwares de botnet mais famosos, usado para vários fins, entre eles o lançamento de ataques DDoS.
• Semelhante ao Methbot, o 3ve chegou a controlar 1,7 milhões de PCs antes de ser desativado em 2018.
• Plague é um malware que instala um software minerador de criptomoedas no computador da vítima. O seu computador passa a ser usado pelo hacker para minerar criptomoeda, que reverterá para o hacker.
• O Conficker surgiu em 2009 e “reza a lenda” que os seus criadores ficaram tão alarmados pelo seu crescimento exponencial que preferiram não utilizá-lo para crime em larga escala – tendo em conta que chamou rapidamente a atenção da comunidade de cibersegurança mundial.
• O perigosíssimo emotet foi fornecido pelos seus criadores sob a forma de botnet e enquanto uma espécie de software-as-a-service (SaaS) mas em malware. A botnet foi disponibilizada em 2017 e desmantelada em 2021.

Preocupamo-nos mais com os nossos computadores e telemóveis, mas os dispositivos de Internet das Coisas (IoC, ou IoT de “Internet of Things”) são vítimas tão ou mais procuradas pelos hackers à procura de construir botnets. Estes aparelhos têm, geralmente, medidas de segurança menos exigentes e são também mais difíceis de monitorizar que os aparelhos que usamos no dia a dia com um ecrã digital familiar. É importante que os dispositivos IoC disponham, por exemplo, de métodos de autenticação difíceis de contornar.

É muito difícil detetar esta situação, até porque os melhores exemplos de malware deste género fazem o possível por passar despercebidos. Os sinais mais frequentes podem confundir-se com os de utilização comum, mas deve estar-se atento:

• Utilização muito elevada de CPU
• Utilização muito elevada de memória RAM
• Tráfego de internet anormal, nomeadamente de saída (outgoing), e principalmente orientado a um só destino
• Sinais de tráfego estranhos à sua rede (protocolos, portas, interfaces)

Detetar programas ou software estranhos ou desconhecidos em execução (que não façam parte dos programas instalados ou do software normalmente executado pelo sistema operativo) ajudará a compreender a dimensão do problema. Será necessário um software específico (de análise e remoção de ameaças) para tentar eliminar o malware em questão.

Mais vale prevenir do que remediar; é preferível evitar a infeção do que tentar resolver o problema depois. Vejamos as técnicas de base:

• Mantenha o seu software atualizado. As atualizações de software incluem reparações e correções contra fraquezas e vulnerabilidades. Atualize o seu software sempre que possível para reduzir as probabilidades de um ataque de malware (de botnet ou de outra natureza).
• Não clique em links estranhos ou suspeitos. E-mails enviados por desconhecidos podem conter, em vez de anexos, links que o levam a websites que lhe instalam malware na hora, sem que se aperceba. Mas isto é válido também para links que lhe cheguem via Facebook, WhatsApp ou Tik Tok.
• Instale um bom software antivírus. Uma ferramenta antivírus proporcionará ferramentas de “scanning” e remoção de malware de botnet e de outros tipos.
• Não abra e-mails enviados por desconhecidos não autorizados. Até as imagens contidas nos e-mails poderão ser o veículo de um malware que fará com que o seu aparelho faça parte de uma rede de bots. Mas os anexos destes e-mails são ainda a ferramenta de infeção mais comum.
• Pratique a chamada ciber-higiene quanto a senhas. Use senhas longas, únicas, difíceis de adivinhar por parte de software e impossíveis de memorizar. Utilize um gestor de passwords como o NordPass para facilitar a gestão. Ao instalar um novo router, webcam ou aparelho de IoC, mude imediatamente a password de fábrica, pois é passível de ser violada por software especializado.
• Use uma VPN. As redes privadas virtuais permitem navegar com privacidade e segurança, através da encriptação das comunicações e da atividade que é feita. Ainda que o seu computador ou um dos terminais da sua LAN se ligue a websites não confiáveis, se fizer o download de uma VPN, os seus dados estarão mais seguros.
• Use um bloqueador de malware, que deteta a chegada de software malicioso e impede que ele penetre no seu dispositivo. O serviço Proteção Contra Ameaças da NordVPN combina esta funcionalidade com outras, como o bloqueio de anúncios do tipo pop-up (que podem ser usados para tentar infetar o seu aparelho) e o bloqueio de cookies de rastreamento. Além de aumentar a segurança, a Proteção Contra Ameaças torna a sua navegação online mais rápida e agradável.

Encripte a sua conexão à Internet e desfrute de uma world wide web mais segura.