Аналитики из некоммерческой организации Spamhaus продолжают наблюдать рост количества доменных имен, используемых злоумышленниками для управления ботнетами. В период с июля по сентябрь активисты фиксировали в среднем 1300 новых C&C-серверов в месяц; в первой половине 2019 года эта норма составляла 1000. Наиболее «урожайным» оказался июль, когда в базу Spamhaus было занесено 1587 адресов C&C.

Примечательно, что Emotet, прекративший рассылать спам в начале июня, возобновил свою активность лишь в сентябре. За время летних каникул поведение зловреда, по данным Spamhaus, не изменилось: он по-прежнему ворует email-адреса, пароли и чужую переписку, чтобы распространять вредоносные сообщения от имени жертв.

Список вредоносных программ, операторы которых активно вводят в строй новые C&C-серверы, по-прежнему возглавляет Lokibot, хотя число ассоциируемых с ним находок заметно сократилось — с 1277 до 898. Второе место в ведущей двадцатке занял Trickbot — за квартал число его командных серверов резко возросло (с 64 до 614), и в итоге он обогнал AZORult, растерявший почти половину центров управления.

Основную часть этого рейтинга Spamhaus составляют RAT-трояны и похитители информации, притом почти все они постоянно сменяют позиции. Активисты полагают, что причиной столь высокой ротации в данном случае является ожесточенная конкурентная борьба на переполненных рынках. Так, в III квартале из ведущей двадцатки выпал RevengeRAT, а вместо него появился другой инструмент удаленного доступа — AveMariaRAT. Список топ-20 также покинули инфостилер Baldr, быстро набиравший очки во II квартале, и банковский троян IcedID.

Spamhaus botnets 3Q2019

Новый рейтинг TLD-зон, которым отдают предпочтение ботоводы, вполне ожидаемо возглавил родовой домен .com, показатель которого оказался на порядок выше всех остальных. На долю .com в отчетный период пришлось 4058 C&C-серверов — против 1178 в предыдущем квартале. Количество злоупотреблений в зоне .ru сократилось почти в два раза (с 731 до 392); в результате российский национальный домен опустился со второй на четвертую строчку, пропустив вперед .net и .info.

Рейтинг регистраторов доменов по числу обнаруженных C&C вновь возглавила американская компания Namecheap, опередившая остальных с большим отрывом. Голландский OpenProvider, он же Hosting Concepts, значительно ухудшил свой показатель и поднялся на третье место; российский REG.RU, напротив, исправил свое положение (326 против 408 во II квартале) и отодвинулся со второй на четвертую строчку. В пятерку лидеров по злоупотреблениям также вошли два китайских регистратора — West263.com (2 место) и 55hl.com.

Что касается хостинга, то, по данным Spamhaus, ботоводы по-прежнему предпочитают размещать свои центры управления в CDN-сети Cloudflare. Тем не менее, в отчетный период худший результат показал Alibaba: в его облаке было обнаружено 169 новых C&C — на 4 меньше, чем у Cloudflare. Третье место в этом непочетном рейтинге занял российский ISPserver (149); в новый топ-20 также вошли еще девять компаний из России.

Категории: Аналитика, Вредоносные программы