Kaspersky Lab dio a conocer un informe sobre la actividad de botnets en la primera mitad de 2018, donde se analizan más de 150 familias de malware y las modificaciones que circulan a través de 60,000 botnets en todo el mundo. Uno de los principales hallazgos en la investigación fue la creciente demanda internacional por malware multifuncional que no está diseñado para fines específicos, pero que es lo suficientemente flexible como para realizar casi cualquier tarea.
Las botnets, redes de dispositivos infectados que se utilizan en actividades delictivas, son aprovechadas por delincuentes para propagar malware y facilitar ataques DDoS y spam. Utilizando la tecnología Botnet Tracking (Seguimiento de botnets) de Kaspersky Lab, los investigadores de esta compañía vigilan continuamente la actividad de las botnets para prevenir futuros ataques o para eliminar de raíz un nuevo tipo de troyano bancario. La tecnología funciona emulando un dispositivo infectado, atrapando así las órdenes recibidas de los agentes de amenazas que utilizan las botnets para distribuir malware. Esto les proporciona a los investigadores valiosas muestras y estadísticas del malware.
Según los resultados de investigaciones recientes, la proporción de malware de un solo propósito distribuido a través de botnets cayó significativamente durante la primera mitad de 2018 en comparación con la segunda mitad de 2017.
Por ejemplo, durante la segunda mitad de 2017, el 22.46% de todos los archivos maliciosos únicos distribuidos a través de las botnets vigiladas por Kaspersky Lab correspondió a los troyanos bancarios, mientras que en la primera mitad de 2018, la participación de los troyanos bancarios disminuyó en 9.21 puntos porcentuales, hasta el 13.25% de todos los archivos maliciosos presenciados por el servicio de seguimiento de botnets.
La proporción de bots dedicados al spam –otro tipo de software malicioso de un solo propósito distribuido a través de botnets– también disminuyó considerablemente: del 18.93% en la segunda mitad de 2017 al 12.23% en la primera mitad de 2018.
Las bots que trasmiten DDoS, otro típico malware de un solo propósito también disminuyó, de 2.66% en la segunda mitad de 2017 a 1.99% en la primera mitad de 2018.
Al mismo tiempo, el crecimiento más distintivo lo demostró el malware de naturaleza versátil, en particular el malware de herramienta de acceso remoto (RAT, por sus siglas en inglés) que brinda oportunidades casi ilimitadas para explotar la PC infectada. Desde el primer semestre de 2017, la proporción de archivos RAT observados en el malware distribuido por botnets casi se duplicó, pasando de 6.55% a 12.22%. Njrat, DarkComet y Nanocore encabezan la lista de las RAT más extendidas. Debido a su estructura relativamente simple, estas tres puertas traseras pueden ser modificadas incluso por un agente de amenazas aficionado. Esto permite que el malware se adapte para su distribución en una región específica. En términos de distribución geográfica de los servidores de control, la puerta trasera Njrat reclamó el premio “más internacional”, con centros de comando & control en 99 países, incluyendo Brasil, Colombia, Argentina, México, Perú, Chile y Venezuela.