botnet_informe_001

Uma botnet é simplesmente um rede de computadores conectados a um controle central, essa central pode ser um outro computador pessoal ou um servidor. Basicamente uma botnet vem com duas pastas, Panel e Builder.
Panel tem os arquivos que devem ser colocados no servidor web, esses arquivos são de paineis de administração e um arquivo em formato SQL para ser executa no painel de controle do MySQL no servidor web.
Builder é um programa simples que vai criar um EXE, ou seja, o malware que vai contaminar os computadores. De forma geral, o Builder precisa apenas que você indique a URL onde a botnet ficou hospedada.

botnet_info-01

As primeiras botnets começaram em mais ou menos 2006, nessa fase inicial seu principal objetivo era enviar SPAM, usando para isso os computadores infectados com o vírus da botnet, mas com o passar dos anos e com o interesse do RBN(Russian Business Network) as tarefas executadas por uma botnet começam a ficar mais agressivas, o enviou de SPAM continuou com uma opção para o bot master, mas agora existiam mais opções, como roubo de identidades, roubo de dados bancários e tudo que era possível roubar de um computador infectado.

botnet_informe_002

Tudo mudou em 2007, quando pela primeira vez foi descoberta a Zeus, essa botnet foi e ainda é muito usada, seu maior objetivo é roubar dados bancários. Zeus foi a botnet que mais infectou computadores no mundo, Estados Unidos foi o país mais lesado com a Zeus. Nesse tempo uma outra botnet foi criada, a SpyEye, essa botnet se tornou a concorrente direta da Zeus, em sua instalação havia inclusive uma opção
para verificar se o computador do criminoso que estava a instalando tinha o malware da Zeus, essa opção fazia um scanner no computador e prometia eliminar o vírus(caso a máquina estivesse infectada).

SpyEye não durou muito tempo e não fez muito sucesso, seus criadores não conseguiram muito dinheiro com sua venda, hackers de engenharia reversa faziam alterações no gerador de vírus (BUILDER), de modo que qualquer pessoa com os arquivos conseguia faze-la funcionar, sem precisa pagar a licença de uso.

botnet_informe_005

Mais ou menos em 2011, os programadores responsáveis pela Zeus tiveram uma briga interna, com isso, o código fonte do malware foi disponibilizado e ai o problema apenas aumentou, diversas outras botnets começaram a ser criadas com base no código fonte, com isso diversos malwares derivados começaram a nascer, como Citadel, Solar e tantos outros.

Obs: Essa parte da briga interna não pode ser confirmado, são apenas boatos.

Hoje em dia existem botnets para todos os gostos, existem aquelas que são simples,
que apenas executam comandos no computador do usuário infectado e fazem ataques de negação de serviço, também existe a botnet Atrax, que usa a rede ONION para se comunicar com os computadores infectados.

botnet_informe_004

JackPos e Dexter são botnets POS (Point-of-Sale), seu objetivo é atingir empresas,
isso é feito infectado o computador e roubando os dados que são passados nas máquinas de cartão de crédito, assim como nos caixas de supermercado, esse tipo de malware captura os dados que estão gravados na tarja magnética, com isso em mãos, o criminoso passa esses dados para um cartão em branco e faz o saque do dinheiro em um caixa eletrônico ou faz uma transferência bancária usando a conta de alguma “mula”. A vantagem desse tipo de malware em relação ao Chupa-Cabras é que o criminoso não precisa ir no ponto de vendas para pegar os dados que estão armazenados na máquina adulterada, com o JackPos e Dexter o criminoso precisa apenas entrar no painel de administração no servidor web onde o malware foi instalado e pegar os dados.

botnet_informe_003

botnet_informe_006

Vendedores de malware do tipo “POS” em fóruns.

vendedor_01

 

vendedor_02

E onde entra os ganho financeiros com uma Botnet?

Essa é a pergunta mais importante de todas, uma botnet não é uma brincadeira de criança, é uma comercio, um mercado que move milhões de dolares em lucros para os criminosos e de prejuízos para as instituições financeiras do mundo. Uma rede de computadores zumbis alimenta toda uma cadeia de crimes virtuais.

Alguns serviços que são alimentados por redes de botnets:

-Serviço de Spam;
-Aluguel de computadores para ataques DDOS;
-Venda de dados de usuários (criação de passaporte, carteira de motorista);
-Venda de dados bancários (para isso são usados mulas de dinheiro para fazer as transferência e valores);
-Venda de dados de cartão de crédito (esses dados são vendidos em sites próprios para esse serviço);
-Venda de dados de FTP (esses dados são usados para instalação de novas botnets ou scripts para envio de Spam).

Antes que me pergunte,  tenho quase todas as botnets do mercado,  mas por motivos óbvios não vou disponibilizar os arquivos.