Ботоводы запускают по 1,1 тыс. управляющих серверов в месяц

Ботоводы запускают по 1,1 тыс. управляющих серверов в месяц

В 2019 году операторы ботнетов резко нарастили свою активность, запуская по 1,1 тыс. C&C-серверов в месяц. Чаще всего вредоносные сети используются для рассылки модульных шпионских троянов и средств удаленного доступа к компьютерам (RAT). Таковы результаты ежеквартального исследования аналитиков Spamhaus Malware Labs.

По словам специалистов, в I квартале 2019 года более 60% вредоносной активности пришлись на шпионский троян Lokibot (1496 серверов) и многофункциональный зловред AZORult (1155). Модульный троян Pony, который замыкает тройку, отстает от лидеров почти в 4-5 раз с 310 C&C.

По словам специалистов, в сегодняшних показателях можно увидеть прошлогодние тенденции, которые указывали на устойчивый рост ботнетов. Если в январе 2018-го эксперты обнаружили 276 новых серверов, то в декабре — уже 762. Среднемесячный показатель по итогам года составил 530 C&C.

В I квартале 2019-го эта цифра взлетела более чем вдвое — до 1,1 тыс. C&C в месяц. В одном только марте специалисты насчитали почти 1,3 тыс. новых серверов. Основная их часть традиционно расположена в зонах *.com и *.uk. Аналитики также отметили рост доли сайтов под доменами *.ug (Уганда) и *.ng (Нигерия).

Так, в феврале каждый третий ресурс в зоне *.ug работал на злоумышленников, причем за этой активностью стоит всего один вредоносный сервис. Его операторы регистрируют сайты под доменным именем Уганды, а DNS-хостинг закупают в Китае, пользуясь тем, что провайдеры в этих странах не торопятся с обработкой жалоб на нежелательную активность. По словам специалистов Spamhaus, в настоящий момент ценой значительных усилий им удалось сократить долю нежелательных сайтов под доменом Уганды до 29%.

Чаще всего ботнеты располагаются на мощностях Cloudfare. Этот хостинговый провайдер позволяет заказчикам скрывать географическое расположение управляющих серверов и защищает клиентов от DDoS-атак. В первую пятерку также попали российские сервисы Stajazk, Timeweb, Reg.ru и французский Ovh.net.

В апреле крупнейший американский хостер GoDaddy отключил более 15 тыс. доменов, которые были замечены в мошеннических кампаниях. Для определения зловредных площадок среди законопослушных сайтов экспертам понадобилось около двух лет.

Источник: //threatpost.ru/botnet-operators-launch-1-1k-servers-each-month/32532/

Оставить комментарий

Оставить коментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *