Некоммерческая организация Spamhaus обновила статистику злоупотреблений со стороны операторов ботнетов. Согласно ее отчету, в минувшем квартале рост количества IP-адресов, ассоциируемых с командной инфраструктурой таких сетей, был по-прежнему значительным. В апреле и мае активисты заносили в базу по 1000 и более новых C&C-серверов, что сравнимо с месячной нормой I квартала. В июне наблюдался заметный спад: по всей видимости, часть ботоводов решила устроить себе летние каникулы.

По числу доменов, используемых для управления ботнетами, безусловным лидером является обширная TLD-зона .com, на долю которой во II квартале пришлось 1178 случаев злоупотребления. За ней с большим отрывом следует российский национальный домен .ru (731 C&C-серверов), увеличивший свой показатель более чем в два раза. В предыдущем квартале второе место занял .uk, а теперь он выбыл из списка ТОП 20. В новую пятерку лидеров вошли также — в убывающем порядке — домены верхнего уровня .cm (Камерун, 700 C&C), .net и .info.

Знаменательным событием квартала явился отказ OpenNIC, крупнейшего провайдера бесплатных DNS-услуг, от поддержки доменов .bit децентрализованной сети Namecoin. Популярность TLD-зоны .bit в криминальной среде за последнее время сильно выросла: регистрации в ней анонимны, сами домены недосягаемы для правоохранительных органов, а киберзащита, выстраиваемая интернет-провайдерами и бизнес-структурами, в данном случае бесполезна. Преимущества использования bit-доменов по достоинству оценили, например, операторы банковских троянов RTM и Dimnie, а также ботоводы Dofoil, он же Smoke Loader. До недавнего времени все они пользовались услугами OpenNIC при организации связи резидентных зловредов с центрами управления, спрятанными в сети Namecoin, однако 25 июня DNS-провайдер перестал обслуживать ее домены.

Список Spamhaus по злоупотреблению услугами регистраторов доменных имен возглавил Namecheap. Во II квартале на его долю пришлось более 1,5 тыс. доменов, в которых были подняты C&C-серверы ботнетов. На второй строчке оказался REG.RU (409 C&C-доменов). В ведущую десятку попали также еще два российских регистратора — RU-Center (165) и R01 (105).

Первое место в рейтинге хостинг-провайдеров, которым отдают предпочтение операторы ботнетов, вновь занял Cloudflare; в отчетный период в его обширной CDN-сети было выявлено 483 C&C-сервера. За ним следует российский SimpleCloud (203 C&C). НКО Spamhaus особо отметила, что половину списка ТОП 10 хостеров составляют российские компании.

Тем не менее в распределении командных серверов по странам пальму первенства удерживают США, на территории которых ботоводы разместили 814 новых C&C. Второе место заняла Россия (192), на третью ступень поднялась Франция (160). Ведущую пятерку замыкают Китай, поднявшийся сразу на девять строчек, и Германия (129 и 119 C&C соответственно).

Список вредоносных программ, на основе которых работают ботнеты, за квартал изменился мало. В нем по-прежнему много зловредов, ворующих информацию, и RAT-троянов, а возглавили этот перечень вновь Lokibot (1277 C&C) и AZORult (771).

Spamhaus-botnet-malware-2Q2019

Рост популярности Emotet как загрузчика обеспечил ему 4-е место в рейтинге Spamhaus, хотя активность его C&C-серверов с 5 июня упала до нуля. Аналитики полагают, что операторы Emotet подрабатывают, загружая на ботнеты другие вредоносные программы и получая плату за каждое успешное заражение (схема pay-per-install, PPI).

Новички Amadey и Baldr за пару месяцев сумели попасть в ведущую двадцатку. Оба активно продвигаются на подпольных форумах и предоставляются в пользование по модели MaaS — вредоносное ПО как услуга.

Категории: Аналитика, Вредоносные программы, Главное