Uno dei principali trend che sono emersi nei primi sei mesi del 2018 nel campo della cybersecurity è la diffusione delle botnet “multipurpose”, reti di computer infetti che possono essere utilizzate dai criminali informatici per eseguire task anche molto diversi tra loro, e che possono arrivare a essere “affittate” a organizzazioni principali per raggiungere scopi differenti, dalle campagne di spam fino alla diffusione di trojan bancari. E’ quanto emerge dall’ultimo report di Kaspersky Lab, che hanno monitorato l’attività delle botnet analizzando oltre 150 famiglie di malware e le loro varianti in circolazione in tutto il mondo, attraverso 60mila botnet.
Secondo i dati più recenti nella prima metà del 2018 la quota di malware single-purpose distribuita tramite botnet è diminuita significativamente rispetto alla seconda metà del 2017: nella seconda metà del 2017, il 22,46% di tutti i file unici dannosi distribuiti attraverso le botnet monitorate da Kaspersky Lab erano trojan bancari, mentre nella prima metà del 2018, la quota è scesa di 9,21 punti percentuali arrivando al 13,25% di tutti i file dannosi rilevati dal servizio Botnet Tracking. Anche la quota di spamming bot è diminuita dal 18,93% al 12,23%, mentre i bot DDoS, sono diminuiti dell’1,99% nella prima metà del 2018.
La crescita più rilevante è stata registrata invece nel campo dei malware “versatili”, come i “Rat” (Remote Access Tools) che permettono di sfruttare il PC infetto in un’infinità di modalità diverse (dal 6,55% al 12,22%). Njrat, DarkComet e Nanocore sono in cima alla lista dei Rat più diffusi.
In aumento anche i trojan, anche se con percentuali minori rispetto ai Rat: passano dal 32,89% nella seconda metà del 2017 al 34,25% nella prima metà del 2018.
“La ragione per cui i Rat e altri malware multipurpose stanno prendendo il sopravvento quando si parla di botnet è ovvia – sottolinea Alexander Eremin, security expert di Kaspersky Lab – le botnet costano molto denaro e per ottenere un profitto, i cybercriminali devono saper sfruttare ogni opportunità per ricavare denaro dal malware. Una botnet costruita con malware multipurpose può cambiare le sue funzioni in tempi relativamente brevi e passare dall’invio di spam ad attacchi DDoS o alla distribuzione di trojan bancari. Questa capacità di consentire al proprietario della botnet di passare da un diverso modello di business malevolo “attivo” ad un altro, apre anche un’opportunità per un reddito passivo: il proprietario può semplicemente affittare la propria botnet ad altri criminali”.
Gli unici programmi dannosi single-purpose che hanno dimostrato una crescita impressionante all’interno delle reti botnet – si legge in una nota di Kaspersky Lab – sono stati i miner. Anche se la loro percentuale di file registrati non è paragonabile a quella dei malware multifunzione, molto più popolare, la loro quota è aumentata di due volte, inserendosi in un boom di miner maligni.
