Botnet es una red de computadoras “zombis” infectadas( bots), que los piratas informáticos utilizan con mayor frecuencia para organizar ataques DDoS y correo masivo de spam, pero también para actividades más intrincadas, por ejemplo, minería de criptomonedas. En la mayoría de los casos, la botnet es administrada por un servidor (modelo cliente-servidor); con menos frecuencia es una red descentralizada (P2P). Una botnet puede consistir en millones de computadoras infectadas.
Por diseño, el software cliente de la botnet es un híbrido de un Troyano y un rootkit. Los signos de infección generalmente no aparecen de ninguna manera hasta que el bot recibe un comando para activarse. Durante su funcionamiento, el tráfico de Internet y la carga de recursos aumentan (esto, por cierto, es una posible señal de que el dispositivo se ha convertido en un bot).
Además de las listas de correo masivas y los ataques, las botnets propagan virus y roban datos personales. El malware puede incluir un descargador que descarga troyanos y otros virus a través de la red, actualiza una versión anterior del bot, etc.
Auditoría de seguridad de la información
La mayoría de las versiones de bots admiten la función proxy para que una computadora infectada pueda actuar como un servidor proxy, enmascarando la dirección real del servidor del atacante.
El caso de uso más común son los ataques DDoS, que pueden deshabilitar un sitio web o una red (por ejemplo, una red de dispositivos IoT). Los ataques DDoS a menudo son ordenados por competidores — por ejemplo, tiendas en línea y organizaciones financieras, donde el flujo principal de clientes proviene de Internet, y el tiempo de inactividad prolongado amenaza con pérdidas graves. Por lo tanto, las botnets avanzadas como Emotet o Dridex son un negocio bastante rentable.
En aproximadamente la mitad de los casos, la computadora se convierte en un bot después de descargar un troyano. Pero este método, debido a la mejora cada vez más activa de los antivirus, ya se considera anticuado.
Un ejemplo de infección más sofisticada: un pirata informático escanea blogs y foros, encuentra vulnerabilidades en ellos, adjunta un exploit (código malicioso ejecutable) al sitio, que se activa a través de un “agujero” del navegador cuando un usuario visita un recurso infectado.