Nesten all den ondartede trafikken på det åpne nettet stammer fra botnett. Dette viser en ny forskningsrapport gjennomført av datasikkerhetsgranskere i Trustwave.
I deres rapport skriver Trustwaves eksperter, etter å ha analysert «enorme mengder» data fra flere enn 38 000 unike IP-adresser, og etter å ha hantet inn 1100 unike eksempler på angrep, kom de frem til at nesten 19 % av all trafikk på nettet var ondartet.
Botnett var ansvarlig for mer enn 95 % av all den ondartede trafikken som ble kartlagt i den perioden da studien pågikk. Analysen ble utført over en periode på seks måneder, som ble avsluttet i mai 2023.
Det finnes flere titalls, om ikke flere hundre ulike botnett, men bare en håndfull var de mest aktive. Botnettene Mirai, Mozi og Kinsing utgjorde nesten alle (95 %) av de registrerte angrepene som ble kjørt gjennom enten HTTP- eller HTTPS-protokoller. Forskerne forklarte at disse gruppene av skadevare er de mest utbredte, og at deres hovedhensikt er å utnytte svakheter i enheter tilknyttet Tingenes internett (IoT) for å korrumpere dem og innlemme dem i sitt botnett.
Forskerne konkluderte med at botnett gjør bruk av såkalte web shell i sine forsøk på å utnytte sårbarheter i bestemte bedriftsnettverk. Svakhetene gir dem adgang til endepunkter, noe som igjen gjør dem i stand til å utføre flere ondartede handlinger. For at bedrifter skal kunne opprettholde sikkerheten, må de iverksette «robuste sikkerhetstiltak», hevder forskerne. Det omfatter blant annet å regelmessig oppdatere systemene med nye patcher, håndheve streng adgangskontroll, evaluere nettverkets sikkerhet ofte og følge grundig med på nettverkstrafikken for å oppdage mistenkelig aktivitet.
Hvorfor er dette viktig?
Uansett størrelse, beliggenhet eller bransje, har bedrifter alltid vært et ettertraktet mål for datakriminelle. Botnett er et av de kraftigste våpnene i arsenalet deres, og ved å forstå trusselen, hvordan angriperne opererer og hva hensikten deres er, kan bedrifter forberede forsvaret sitt bedre og drive tilbake potensielt farlige angrep i fremtiden.
Botnett utgjør i seg selv kjernen i enhver seriøs trusselaktørs virksomhet. De kan brukes til et bredt utvalg av ondartede aktiviteter, fra tjenestenektangrep (DDoS) og utvinning av kryptovaluta til tyveri av personlige opplysninger og sensitive data. Ettersom de har tilgang til hundrevis av nettilkoblede enheter, fra stasjonære maskiner, laptoper og servere til smarthjemenheter, smartmålere og diverse kontorutstyr, kan trusselaktører sende enorme mengder datatrafikk mot én enkelt enhet, slik at trafikken korker seg og dermed gjør tjenesten utilgjengelig.
De kan også installere kryptoutvinnere, også kalt kryptokaprere, til kompromitterte enheter. Denne typen skadevare (XMRig er den mest utbredte) «utvinner» kyptovaluta ved å ta i bruk enhetens datakraft, elektriske kraft og internett-båndbredde og sende dette til angriperens adresse, slik at det skapes en fortjeneste. Ofrene etterlates med ubrukelig maskinvare og en oppblåst strømregning.
Et av de mest utbredte botnettene der ute er Mirai. Det ble første gang oppdaget av datasikkerhetsforskere fra FortiGuard i 2016. Mirai har siden vokst seg stor og blitt et kraftig botnett. I en analyse fra 2022, uttalte HowToGeek at Mirai omfattet flere enn 500 000 enheter i sitt botnett. Dette er en skadevare som vanligvis angriper Linux-enheter, noe som oftes betyr endepunkter for Tingenes internett.
I 2017, året etter at det ble oppdaget, ble to personer arrestert. De erklærte seg senere skyldige i å ha utviklet og benyttet Mirai. De to skyldige var Paras Jha fra New Jersy, som var 21 år gammel på dette tidspunktet, og Josiah White fra Pennsylvania. Tross arrestasjonen overlevde Mirai-koden. Andre trusselaktører tok den i bruk, og dette er årsaken til at Mirai fremdeles utgjør en formidabel trussel.
Hva sier andre om botnett?
I en nylig publisert rapport fra SC Media sies det at andelen menneskelig trafikk er blitt redusert til sin laveste andel på åtte år. Dette er «en urovekkende tendens som ikke viser tegn til å avta». I den samme rapporten står det også at ikke all bot-trafikk er av den uheldige sorten, og at mange botter bidrar til at internett fungerer slik det skal.
Men de seneste 12 månedene er de ondartede bottene blitt langt mer avanserte. Dette skyldes spesielt tilgangen på nye verktøy som generativ kunstig intelligens. «Jo mer avanserte disse bottene blir, desto vanskeligere blir det å stanse dem», står det i rapporten, og det vektlegges at bedrifter må handle raskt og forsvare sine interesser godt. «Mens bottenes aktivitet nærmer seg 50 % av all trafikk på internett, må utviklere av sikkerhetsløsninger ha det å stanse dem som aller høyeste prioritet. Klarer man ikke det, vil de sette seg selv, kundene og rykte sitt i fare».
Den tyske leverandøren B2B Cyber Security uttaler at i deres land er tilstanden spesielt ille, ettersom bottenes trafikk i fjor utgjorde mer enn to tredjedeler av all trafikk på nettet. Den var på hele 68,6 %, sammenlignet med 39,6 %, noe som utgjør en urovekkende økning. Publikasjonen siterer datasikkerhetsforskerne i Imperva på at menneskelige brukere bare sto for 25,5 % av trafikken, mot 57,4 % i 2021.
- Våre engelskspråklige venner har satt opp denne overikten over de beste brannmurene.
