10 ans de malwares : les pires botnets des années 2010

10 ans de malwares : les pires botnets des années 2010

Au cours de la dernière décennie, le domaine de la sécurité de l'information a connu une augmentation presque constante de l'activité des logiciels malveillants.

Sans aucun doute, les années 2010 ont été la décennie où les logiciels malveillants sont passés d’un milieu semi amateur à une opération criminelle à part entière, capable de générer des centaines de millions de dollars américains par an pour les acteurs impliqués.

Des milliers de souches de logiciels malveillants étaient actives dans les années 2010, mais quelques malwares de botnets se sont illustré en termes de propagation et de taille, désignés par certains chercheurs en sécurité comme des "super botnets".

Des souches de logiciels malveillants comme Necurs, Andromeda, Kelihos, Mirai ou ZeroAccess se sont fait un nom après avoir infecté des millions d'appareils à travers le monde.

Cet article vise à presenter les plus gros réseaux de zombies malveillants que nous ayons vus au cours des dix dernières années. Étant donné que le suivi des botnets n'est pas une science exacte, nous allons répertorier les botnets par ordre alphabétique et mentionner leur taille maximale à l’époque où ils ont été identifiés.

publicité

3ve

3ve est considéré comme le botnet de fraude au clic le plus avancé jamais mis en place. Il a fonctionné de 2013 à 2018, avant d’être démantelé par une action internationale des autorités, avec l'aide de Google et de la société de cybersécurité White Ops.

Ce botnet reposait à la fois sur des scripts malveillants exécutés sur des serveurs hébergés en data et des modules de fraude aux clic installés sur des ordinateurs infectés par des logiciels malveillants tiers, tels que Methbot et Kovter.

Les opérateurs 3ve ont également créé de faux sites Web où ils ont chargé des publicités, puis utilisé les robots pour cliquer sur les publicités et générer des bénéfices. À un moment donné, le botnet aurait été composé de plus de 1,5 million d'ordinateurs personnels et de 1 900 serveurs cliquant sur des publicités chargées sur plus de 10 000 faux sites Web.

Voir les articles de, le rapport PDF Google & White Ops et le blog de Google.

Andromeda (Gamarue)

Le malware Andromeda a été identifié pour la première en 2011, et il s'agit d’un botnet de diffusion de spam et de malware typique - également connu sous le nom de Malware-as-a-Service (MaaS).

Par ce terme, on désigne à un type d'opération où utilisateurs sont visés par des opérations de spam massives visant à les infecter avec la souche de malware Andromeda (Gamarue). Les escrocs utilisent ensuite ces hôtes infectés pour envoyer de nouveaux spams par e-mail à d'autres utilisateurs, et étendre ou maintenir le botnet en vie, ou ils uploadent une souche de malware de deuxième étape à la demande d'autres gangs de logiciels malveillants.

Les botnets MaaS qui fournissent un "espace d'installation" sont parmi les systèmes de cybercriminalité les plus lucratifs du marché, et les escrocs peuvent utiliser différentes souches de logiciels malveillants pour configurer l'infrastructure principale nécessaire pour une telle opération.

Andromeda, est l'une de ces souches de logiciels malveillants, et a été très populaire au fil des années. La raison de son succès est que le code source d'Andromeda a fuité en ligne, il y a quelques années, et a permis à plusieurs gangs criminels de créer leur propre botnet et de s'essayer à la «cybercriminalité.

Au fil des années, les entreprises de cybersécurité ont suivi plusieurs gangs criminels exploitant un botnet Andromeda. Le plus important connu à ce jour a atteint deux millions d'hôtes infectés et a été fermé par Europol en décembre 2017. Les lecteurs peuvent trouver une collection de rapports sur le malware Andromeda sur sa page Malpedia, ainsi qu’ici et .

Bamital

Bamital est un botnet publicitaire qui a fonctionné entre 2009 et 2013. Il a été supprimé suite à un effort conjoint de Microsoft et Symantec.

Sur les hôtes infectés, le logiciel malveillant Bamital modifiait les résultats de recherche pour insérer des liens et du contenu personnalisés, redirigeant souvent les utilisateurs vers des sites proposant des téléchargements contenant des logiciels malveillants.

Bamital aurait infecté plus de 1,8 million d'ordinateurs.

Bashlite

Bashlite, également connu sous des noms tels que Gafgyt, Lizkebab, Qbot, Torlus et LizardStresser, est une souche de malware conçue pour infecter les routeurs domestiques WiFi, les appareils intelligents et les serveurs Linux mal sécurisés.

Son rôle principal et unique est de mener des attaques DDoS.

Le malware a été créé en 2014 par des membres du groupe de piratage Lizard Squad, et son code a été divulgué en ligne en 2015.

En raison de cette fuite, le malware a souvent été utilisé pour propager la plupart des botnets DDoS actuels, et est souvent la deuxième souche de malware IoT la plus populaire, derrière Mirai. Il existe actuellement des centaines de variantes de Bashlite.

Bredolab

Le botnet Bredolab aurait infecté 30 millions d'ordinateurs Windows entre 2009 et novembre 2010, date de son retrait, lorsque

Le botnet a été construit par un auteur arménien de logiciels malveillants, qui a utilisé des spams et des téléchargements drive by pour infecter les utilisateurs avec le logiciel malveillant Bredolab. Une fois infectés, les ordinateurs des victimes seraient utilisés pour envoyer des quantités massives de spam.

Carna

Le botnet Carna n'est pas exactement un logiciel malveillant. Il s'agissait d'un botnet créé par un pirate anonyme dans le but d'effectuer un recensement sur Internet.

Il a infecté plus de 420 000 routeurs Internet en 2012 et a simplement collecté des statistiques sur l'utilisation d'Internet directement auprès des utilisateurs ... et sans autorisation.

Il a infecté des routeurs qui n'utilisaient pas de mot de passe ou qui étaient sécurisés avec des mots de passe par défaut ou faciles à deviner - une tactique réutilisée quatre ans plus tard par le botnet Mirai.

Vous pouvez en savoir plus sur Carna à partir de la page Wikipedia du botnet ou de cet épisode de podcast Darknet Diaries.

Chameleon

Chameleon était un botnet de courte durée qui a fonctionné en 2013. C'est l'un des rares botnets de fraude publicitaire de cette liste.

Selon les rapports de l'époque, les auteurs du botnet ont infecté plus de 120 000 utilisateurs avec le malware Chameleon. Ce malware ouvrait une fenêtre Internet Explorer en arrière-plan et naviguait vers une liste de 202 sites, où il déclenchait des impressions d'annonces qui ont aidé les auteurs du botnet à générer des revenus allant jusqu'à 6,2 millions de dollars par mois.

Le botnet a cessé de fonctionner après avoir été évincé publiquement.

Coreflood

Coreflood est l'une des menaces oubliées d'Internet. Il est apparu en 2001 et a été fermé en 2011.

Le botnet aurait infecté plus de 2,3 millions d'ordinateurs Windows, et comptait plus de 800 000 bots au moment de sa suppression en juin 2011.

Les opérateurs Coreflood ont utilisé des sites Web piégés pour infecter les ordinateurs des utilisateurs via une technique appelée téléchargement furtif (Drive by download). Une fois qu'une victime était infectée, ils utilisaient Coreflood pour télécharger d'autres logiciels malveillants plus puissants - Coreflood fonctionnant comme un "dropper/downloader" de logiciels malveillants.

Pour une description de ses capacités techniques, veuillez consulter l'analyse technique Coreflood de Symantec.

Dridex

Dridex est l'un des réseaux botnets les plus tristement célèbres d'aujourd'hui. Le malware Dridex et le botnet associé existent depuis 2011, initialement connus sous le nom de Cridex, avant d'évoluer vers la souche Dridex actuelle (parfois aussi appelée Bugat).

Le malware Dridex est principalement un cheval de Troie bancaire qui vole les informations d'identification bancaires et permet aux pirates d'accéder aux comptes bancaires, mais il est également livré avec un module de vol d’informations.

Le malware est généralement distribué via du spam malveillant (e-mails contenant des pièces jointes malveillantes). Plusieurs rapports estiment que le groupe qui a créé Dridex gère également le botnet de spam Necurs. Il existe des similitudes de code entre les deux souches de logiciels malveillants et le spam qui propage Dridex est toujours distribué via le botnet de spam Necurs.

L'un des principaux codeurs mais le botnet Dridex continue de fonctionner et il est toujours actif aujourd'hui. La taille du botnet (nombre d'ordinateurs infectés par le malware Dridex) a énormément varié au fil des ans et selon les fournisseurs. Les pages Dridex et TA505 Malpedia répertorient une fraction des centaines de rapports portant sur Dridex, montrant à quel point ce botnet a été extrêmement actif cette décennie.

Emotet

Emotet a été vu pour la première fois dans la nature en 2014. Il a d'abord fonctionné comme un cheval de Troie bancaire, mais s'est réinventé en tant que diffuseur de logiciels malveillants pour d'autres opérations cybercriminelles en 2016 et 2017.

Aujourd'hui, Emotet est la principale opération MaaS au monde et est souvent utilisé pour permettre aux escrocs d’accéder aux réseaux d'entreprise, où les pirates peuvent voler des fichiers propriétaires ou installer des rançongiciels pour chiffrer les données sensibles, puis extorquer des entreprises pour de grosses sommes d'argent.

La taille du botnet varie d'une semaine à l'autre. Emotet fonctionne également via trois "instances" plus petites (mini-botnets), de sorte qu'il peut éviter les démantèlements coordonnés des forces de l'ordre et tester diverses actions avant un déploiement plus large.

Le malware Emotet est également connu sous le nom de Geodo, et ses capacités techniques ont été largement documentées. L'infographie ci-dessous fournit un aperçu actualisé des capacités d'Emotet, au moment de la rédaction, avec l'aimable autorisation de Sophos Labs.

10 ans de malwares : les pires botnets des années 2010
 

Festi

Le botnet Festi a été mis en place avec l'aide du rootkit éponyme Festi. Le botnet était actif entre 2009 et 2013, jusqu’à ce que l'activité du botnet s'éteigne d’elle-même.

Au cours de son apogée en 2011 et 2012, le botnet aurait infecté plus de 250 000 ordinateurs et était capable d'envoyer plus de 2,5 milliards de spams par jour.

Outre ses capacités de spam bien documentées, le botnet a également été utilisé pour mener des attaques DDoS en de rares occasions, étant l'un des rares botnets basés sur Windows capable de cela.

Le botnet était également connu sous le nom de Topol-Mailer. Plusieurs sources ont identifié le programmeur russe Igor Artimovich comme le créateur du botnet [1, 2].

Gameover ZeuS

Gameover ZeuS est un botnet malveillant qui a fonctionné entre 2010 et 2014, avant que son infrastructure ne soit saisie par les forces de l'ordre internationales.

Le botnet a été assemblé en infectant des ordinateurs avec Gameover ZeuS, un cheval de Troie bancaire construit sur le code source divulgué du cheval de Troie ZeuS. Gameover ZeuS aurait infecté jusqu'à un million d'appareils.

En plus de voler des informations bancaires à des hôtes infectés, le gang Gameover Zeus a également offert l'accès à des machines infectées à d'autres groupes cybercriminels, afin qu'ils puissent installer leur propre malware. Le botnet Gameover ZeuS était le principal distributeur de CryptoLocker, l'une des premières souches de ransomware à avoir chiffré les fichiers, plutôt que de simplement verrouiller le bureau d'un utilisateur.

L'opérateur principal du botnet a été identifié comme étant un Russe nommé Evgeniy Mikhailovich Bogachev, toujours en liberté en Russie. Le FBI offre actuellement une récompense de 3 millions de dollars pour les informations menant à l'arrestation de Bogachev, la plus grande récompense que le FBI offre pour un pirate informatique.

Famille Gozi

La famille de logiciels malveillants Gozi mérite une mention sur cette liste, principalement en raison de son impact sur la scène actuelle des logiciels malveillants, et pas nécessairement en raison de la taille des réseaux de machines qui ont été créés (dont la plupart étaient très petits, mais persistants à travers les années).

Le cheval de Troie bancaire d'origine de Gozi a été développé en 2006 en tant que concurrent direct du cheval de Troie ZeuS et de son offre Malware-as-a-Service.

Tout comme ZeuS, le code source de Gozi a fuité en ligne (en 2010) et a été immédiatement adopté par d'autres gangs cybercriminels, qui l'ont incorporé et réutilisé pour créer de nombreux autres chevaux de Troie bancaires.

Bien qu'il y ait eu des dizaines de souches de logiciels malveillants basés sur Gozi, les plus persistantes étaient la version Gozi ISFB, la et le botnet GozNym - une combinaison entre Gozi IFSB et Nymain. Actuellement, Gozi est considéré comme obsolète, principalement parce qu'il ne fonctionne pas vraiment bien avec les navigateurs et les systèmes d'exploitation modernes, et a été lentement abandonné ces dernières années.

Grum

Le botnet Grum a fonctionné entre 2008 et 2012 et a été construit à l'aide de la souche de malware rootkit éponyme. À son apogée, le botnet a atteint une taille , principalement composés de systèmes Windows XP.

Le botnet a été fermé en 2012 après un effort conjoint de Spamhaus, Group-IB et FireEye, même si, à ce moment-là, la taille du botnet était tombée à 20 000 machines.

Le but principal de Grum était d'utiliser des ordinateurs infectés pour envoyer des dizaines de millions de courriers électroniques indésirables par jour, principalement pour des produits pharmaceutiques et des sites de rencontres.

Hajime

Le botnet Hajime est apparu en avril 2017 et est toujours actif aujourd'hui. C'est un botnet IoT classique qui infecte les routeurs et les appareils intelligents via des vulnérabilités non corrigées et des mots de passe faibles.

Le botnet a été le premier botnet IoT à avoir utilisé une structure P2P (peer-to-peer) parmi tous les botnets IoT. À son apogée, le botnet a atteint une taille de 300 000 appareils infectés; cependant, il n'a pas pu maintenir sa masse critique longtemps, d’autres botnets sont venus piétiner ses plates-bandes et le botnet a maintenant diminué à une taille moyenne d'environ 90 000 appareils.

Le botnet n'a jamais été vu se livrer à des attaques DDoS, et on pense que les escrocs l'utilisent pour du proxy de trafic malveillant ou pour mener des attaques de bourrage d’identifiants (credential stuffing)

Kelihos (Waledac)

Le botnet Kelihos, également connu sous le nom de Waledac, est resté actif entre 2010 et avril 2017, lors de leur quatrième tentative, après avoir échoué en 2011, 2012 et 2013.

Le botnet a culminé à quelques centaines de milliers de bots, mais il était mort à environ 60 000 bots au moment de sa suppression.

Quant à son mode de fonctionnement, Kelihos était un botnet de spam classique, utilisant des bots infectés pour envoyer des campagnes de spam par e-mail au nom de divers fraudeurs ou opérations de logiciels malveillants.

L'opérateur de botnet de Kelihos a été arrêté en 2017 en Espagne et extradé vers les États-Unis, où il a plaidé coupable l'année dernière et attend maintenant sa condamnation.

Source :