Cos’è una botnet? casi d’uso e protezione

Le botnet (Il termine “botnet” nasce dalla unione delle parole “bot” e “network”) nella forma più semplice si basano su due elementi:

• una vasta rete di dispositivi infetti (denominati zombie),
• un centro di comando e controllo (denominato bot master);

e si può cadere nelle maglie di una botnet sia come vittima diretta di un attacco che infettando il proprio dispositivo inconsapevolmente, diventando parte integrante della botnet stessa.

Come funzionano le botnet 

Continuando nella semplice trattazione, possiamo dire che esistono due modelli principali per configurare le botnet: un modello client/server e un modello P2P.

Il modello client/server è il sistema in cui i dispostivi zombie ricevono le istruzioni da una singola posizione, in genere un server condiviso. In tal caso per disattivare una botnet è sufficiente rendere non disponibile il sito o il server web di comando.

Il modello P2P prevede invece che ogni computer infetto comunichi direttamente con determinati altri dispositivi connessi alla botnet, a loro volta connessi ad altri, fino a mettere insieme l’intero sistema. In tal caso la ridondanza della infrastruttura di rete, non permette che la disattivazione di uno o più dispositivi sia sufficiente a bloccare l’intera botnet.

Botnet e trojan horse

Per creare una botnet è necessario potere ottenere l’accesso e il controllo dei dispositivi presi di mira e che si intendono connettere. In questo scenario, i trojan horse risultano essere una delle tipologie di malware più comunemente impiegate dagli attaccanti. Pur se non auto propagante, un trojan può comunque rimanere dormiente e passare inosservato fino a quando non necessario, rendendolo uno strumento estremamente adatto allo scopo.

Botnet, casi d’uso

Il compito basico di una botnet consiste nel far eseguire a tutti i device componenti la stessa operazione in contemporanea, al fine di ottenere un forte impatto nel minor tempo possibile:

• Invio di spam. È molto meglio avere milioni di computer che operino all’unisono in modo che lo spam possa diffondersi velocemente, colpendo quanti più target possibili;
• diffusione massiva di malware. Le botnet possono consentire ai malware di raggiungere il maggior numero possibile di target in un breve lasso di tempo, tentando infezioni via e-mail o connessioni aperte;
• attacchi DDoS. Durante un attacco DDoS un numero molto elevato di zombie si connette nello stesso momento a un sito web, in modo da rallentarlo e renderlo fuori servizio;
• Attacchi bruteforce. I criminali informatici tentano di violare gli account anche impiegando tecniche brute force (provando ogni combinazione possibile per individuare una password corretta in modo casuale). Una botnet potrebbe tornare utile in tal senso con un numero sufficiente di zombie;
• Cryptojacking. Una tendenza crescente del cyber crime  è quella di organizzare botnet al solo scopo di avere zombie che eseguono il mining di bitcoin o altre valute online per loro conto.

Come proteggersi

Di seguito alcuni semplici accorgimenti per evitare di entrare a far parte di una botnet o di restare vittima di un relativo attacco:

1. Non scaricare file da siti inaffidabili;
2. non fare clic su annunci online;
3. prestare attenzione alle e-mail di phishing;
4. installare un antivirus affidabile.

Qualora sia ormai troppo tardi, non resta altro da fare, a seconda dei casi:

• Una scansione antivirus all’avvio. Le scansioni in fase di avvio possono aiutare a rilevare malware radicati profondamente eseguendo la scansione prima dell’avvio del sistema operativo, impedendo così al malware di eluderne il rilevamento;
• un ripristino delle impostazioni predefinite. Un modo drastico per liberarsi del problema. In questo caso, sarebbe necessario avere anche un backup dei dati pulito in quanto file, impostazioni personali e applicazioni verranno eliminati dal dispositivo.