Компания Damballa, специализирующая на вопросах сетевой безопасности и борьбе с ботнетами, опубликовала небольшой отчёт по результатам 2010 года. Факты, которые в нём приведены, озадачивают. По данным аналитиков, во второй половине года произошёл резкий — почти семикратный — рост индивидуальных заражений. Почему?
В определённой степени это связано с резким распространением инструментов (do-it-yourself kit) для создания новых агентов для формирования бот-сетей (или присоединения заражённых компьютеров к уже существующим). Отдельное «спасибо», как указывается в отчёте, тут надо сказать некоей группе TDL Gang, которая вовсю торгует инструментарием, в основе которого лежит буткит — руткит, изменяющий загрузочный сектор диска (MBR Rootkit).
Кроме того, как выяснили специалисты Damballa, операторы нынешних крупнейших ботнетов запускают обычно сразу несколько параллельных кампаний по заражению, ухитряются автоматически производить уникальные варианты вредоносных агентов, регулярно обновляют их (очевидно, чтобы предотвратить обнаружение антивирусами) и применяют массу других защитных мер.
Самое же интересное заключается в том, что из десяти наиболее крупных, по данным Damballa, ботнетов 2010 года шесть в 2009-м просто не существовали.
Откуда они взялись и почему так быстро разрослись?
Сергей Голованов, ведущий антивирусный эксперт «Лаборатории Касперского», прокомментировал эту ситуацию для «Компьютерры» следующим образом:
— Как бы странно ни звучало, но данный рост связан с деятельностью правоохранительных органов. Закрытие крупных ботнетов (например, Bredolab или Mega-D) и аресты большого числа киберпреступников значительно ослабили конкуренцию на черном рынке киберуслуг, что привело к заполнению образовавшегося вакуума самыми сильными игроками. Для того же ботнета TDSS мы фиксируем восьмикратное увеличение скорости его распространения — 800 попыток заражения в сутки против ста в начале 2010 года.
Отчёт Damballa доступен по этой ссылке (PDF).