Specjaliści z CERT Polska, który funkcjonuje w ramach Naukowej i Akademickiej Sieci Komputerowej (NASK), ustalili liczbę botnetów w Polsce w 2015 r. Dane z jednej strony są optymistyczne, bo widać spadek liczby infekcji w minionym roku u niemal każdego operatora.  Z drugiej strony jednak pojawiły się nowe Trojany, które skutecznie mogą nam uprzykrzyć życie.

Najgroźniejsze botnety w 2015 r. w Polsce to Tinba (blisko 23 tys. zainfekowanych IP, 15.5 proc. wszystkich botów), Conficker (17 tys. botów), Foreign (13 tys.) i sality (10 tys. 800 komputerów). Dane dotyczą maksymalnej liczby dziennej zainfekowanych stacji w ciągu roku.

Trzy botnety z listy najpopularniejszych, w tym znajdująca się na pierwszym miejscu Tinba, to groźne trojany bankowe. Choć najwyższy poziom infekcji w wypadku Tinby utrzymywał się zaledwie przez kilka dni w roku (średni poziom dzienny to 4,3 tys.), to jednak trzeba pamiętać, że jest on zarządzany przez różne, niepowiązane ze sobą osoby.

„Jego popularność nie dziwi, ponieważ kod źródłowy bota wyciekł w połowie 2014 r. i od tego czasu obserwujemy coraz liczniejsze instancje operowane zarówno przez przestępców-amatorów, dopiero rozpoczynających swoją styczność ze złośliwym oprogramowaniem, jak i przestępców zawodowych” – informują eksperci CERT Polska. Nowsze botnety, takie jak Tinba czy trojan gozi, zwiększają swoją aktywność skokowo. W rekordowym dniu do CERT Polska spłynęły zgłoszenia o 5-krotnie większej liczbie komputerów zarażonych Tinbą niż średnio każdego dnia w ciągu roku.

Starsze botnety, takie jak Conficker, zero acces, gameover, stopniowo tracą na popularności. Wynika to z braku nowych infekcji i wycofywania z użytku starych, zainfekowanych maszyn.

W wypadku Trojanów bankowych wykorzystywany jest mechanizm modyfikacji strony internetowej na zainfekowanym komputerze, przez co przestępcy mają pełny dostęp do konta ofiary i mogą przelewać znajdujące się na nim środki. Wiele zagrożeń jeszcze do niedawna atakowało głównie banki zachodnie, a w Polsce nie występowało. W 2015 r. ten obraz jednak się zmienił.

Aktywność botnetów jest zróżnicowana w zależności od dostawcy Internetu. Dla przykładu: poziom zainfekowania komputerów w sieci Netia jest dwukrotnie wyższy w porównaniu z innymi operatorami. Drugie miejsce pod względem poziomu infekcji zajęła spółka Multimedia Polska, a trzecie – Orange Polska. Są jednak sposoby, dzięki którym sieci mogą zabezpieczać swoich klientów przed zagrożeniem. Eksperci z CERT Polska zauważają skokowe różnice w infekcjach, np. gwałtowny spadek liczby botów w sieci Aero2 do poziomu zaledwie 3 zgłoszeń dziennie po 16 marca ub.r. (wcześniej było to nawet 900 zainfekowanych maszyn każdego dnia). Przypuszczalnie powodem były zmiany w infrastrukturze sieci Aero2 i wykorzystanie innego systemu autonomicznego dla ruchu wychodzącego użytkowników sieci. Innym przykładem jest spadek aktywności robaka Conficker niemal do zera w okresie od początku maja do końca sierpnia 2015 r. w sieci Orange Polska. Prawdopodobnie wiązało się to z uruchomieniem usługi CyberTarcza, o czym operator informował w połowie kwietnia ubr. Usługa ta mogła blokować połączenia do domen C&C Confickera.

Źródło: www.cert.pl