O que são botnets e como podem transformar seu computador em uma arma hacker?

Um dia, seu computador começa a se comportar estranhamente. Está mais lento do que o habitual, os ventiladores de repente giram em alta velocidade, e embora você não esteja fazendo nada exigente, parece que algo está consumindo recursos do sistema em segundo plano. Infelizmente, com grande probabilidade, você inadvertidamente se tornou parte de um botnet – uma das armas mais perigosas no arsenal dos cibercriminosos.

O que é um botnet?

Um botnet é uma rede de computadores e dispositivos infectados que são controlados secretamente por um atacante (frequentemente referido como "botmaster"). O nome surge da combinação das palavras "robot" e "network" (rede), o que descreve bem sua essência – um exército de "robôs" de computador prontos para seguir as ordens de seu mestre.

Cada computador infectado nesta rede é chamado de "bot" ou "zumbi". O que torna os botnets tão perigosos é sua força coletiva. Enquanto um computador infectado tem potencial limitado, milhares ou mesmo milhões de dispositivos conectados criam uma poderosa força computacional que pode ser abusada para várias atividades malignas.

Como seu computador se torna parte de um botnet?

O processo de transformar seu computador em um obediente "bot" começa com a infecção por malware.

Existem várias formas comuns de isso acontecer:

• E-mails de phishing – Você recebe um e-mail aparentemente legítimo com um link ou anexo que contém código malicioso.
• Downloads automatizados – Você visita um site comprometido que automaticamente baixa e instala malware sem o seu conhecimento.
• Software vulnerável – Atacantes exploram vulnerabilidades de segurança em aplicativos ou no sistema operacional que não foram atualizados.
• Engenharia social – Você é convencido a instalar um programa que é, na verdade, um cavalo de Troia contendo uma porta dos fundos para atacantes.

Após uma infecção bem-sucedida, o malware se estabelece em seu sistema, geralmente permanecendo discreto. Ele é projetado para se esconder de programas antivírus e usuários. Posteriormente, ele se conecta a um servidor de command and control (C&C) – um nó central de onde o botmaster controla toda a rede.

Como os atacantes usam computadores infectados?

Uma vez que o botnet é criado, ele pode ser usado para várias atividades malignas. As mais conhecidas são discutidas abaixo.

Ataques DDoS (Distributed Denial of Service)

O uso mais conhecido dos botnets são os ataques DDoS. O atacante, neste caso, ordena que todos os bots na rede enviem simultaneamente solicitações para um determinado serviço ou servidor web. O enorme volume de tráfego sobrecarrega o servidor alvo, que fica então incapaz de processar solicitações legítimas.

Um exemplo é o botnet Mirai, que em 2016 causou um dos maiores ataques DDoS da história, quando interrompeu temporariamente serviços importantes da internet, incluindo Twitter, Netflix e Reddit.

Envio de spam e distribuição de malware

Seu computador pode ser usado para enviar e-mails não solicitados ou para a distribuição adicional de malware. Os atacantes podem assim distribuir spam sem revelar sua identidade real, pois os e-mails se originam de computadores legítimos mas comprometidos.

Roubo de dados sensíveis

O botnet pode ser equipado com recursos para monitorar pressionamentos de tecla, capturar telas ou pesquisar arquivos. Isso permite que os atacantes roubem suas senhas, números de cartões de crédito, informações pessoais ou segredos comerciais.

Mineração de criptomoedas

Nos últimos anos, tornou-se popular usar o poder computacional dos botnets para mineração de criptomoedas (conhecida como cryptojacking). Seu computador pode minerar Bitcoin, Monero ou outras criptomoedas em segundo plano, enquanto todo o lucro vai para os bolsos do atacante. Enquanto isso, você paga pelo aumento do consumo de eletricidade e sofre com o desempenho reduzido do seu dispositivo.

Aluguel de botnets

Muitos atacantes até mesmo alugam seus botnets para outros cibercriminosos – um modelo conhecido como "Botnet-as-a-Service" (BaaS). Mediante uma taxa, praticamente qualquer pessoa pode alugar um botnet para seus próprios propósitos maléficos, sem necessidade de conhecimentos técnicos para sua criação.

Botnets conhecidos e seus impactos

A história dos botnets está cheia de exemplos de redes destrutivas que causaram danos significativos.

Conficker

O Conficker, descoberto no final de 2008, rapidamente se tornou um dos botnets mais conhecidos na história do cibercrime. No auge de sua atividade em 2009, infectou mais de 10 milhões de computadores com Windows em todo o mundo, tornando-se uma das maiores redes botnet de todos os tempos.

O que tornava o Conficker extremamente perigoso era sua capacidade de se atualizar constantemente e resistir à detecção. O malware conseguia bloquear o acesso a sites de segurança, impedia o download de atualizações e possuía avançadas funções de disfarce.

Embora tenha sido criado um grupo de trabalho especial contra ele (Conficker Working Group), que incluía empresas de segurança importantes, o Conficker ainda permanece parcialmente ativo até hoje, embora em uma escala muito menor.

Gameover Zeus

O Gameover Zeus surgiu por volta de 2011 e rapidamente se tornou um dos malwares financeiros mais temidos. Era especializado em roubo de dados bancários e senhas, sendo estimado que causou prejuízos financeiros superiores a 100 milhões de dólares.

Ao contrário de seus antecessores, usava uma rede de comunicação peer-to-peer criptografada em vez de servidores C&C tradicionais, o que dificultava muito sua detecção e remoção. Este botnet estava frequentemente associado ao ransomware CryptoLocker, que criptografava os arquivos das vítimas e exigia resgate.

Em 2014, ocorreu uma operação internacional massiva denominada "Operation Tovar", durante a qual as forças de ordem de diversos países conseguiram interromper temporariamente a infraestrutura do botnet. Seu criador, o russo Evgenij Bogačev, foi indiciado e ainda figura na lista do FBI com uma recompensa de 3 milhões de dólares por informações que levem à sua captura.

Mirai

O Mirai, que surgiu em 2016, trouxe uma mudança significativa no conceito de botnets ao focar principalmente em dispositivos IoT como câmeras, roteadores e monitores de bebês. O botnet usava uma estratégia simples, mas eficaz – explorava sistematicamente a internet tentando fazer login nos dispositivos com uso de uma base de dados de credenciais padrão.

Como muitos usuários nunca alteram as configurações de fábrica, essa abordagem foi surpreendentemente bem-sucedida. O Mirai chamou atenção mundial quando, em 21 de outubro de 2016, realizou um enorme ataque DDoS contra a empresa Dyn, provedora de serviços DNS.

O ataque desativou temporariamente serviços importantes da internet, incluindo Twitter, Netflix, Reddit e muitos outros. O mais preocupante sobre o Mirai foi que seu código fonte foi divulgado online, levando à criação de muitas variantes e imitadores.

O Mirai praticamente iniciou uma nova era de botnets IoT, que continuam a representar uma ameaça significativa devido ao crescente número de dispositivos IoT frequentemente mal seguros.

Emotet

O Emotet apareceu pela primeira vez em 2014 como um trojan bancário relativamente simples, mas evoluiu para uma infraestrutura modular sofisticada para distribuição de malware. Era chamado de "o malware mais perigoso do mundo" até sua desestruturação por uma operação policial internacional em janeiro de 2021.

Sua principal força estava na capacidade de se espalhar por meio de e-mails comprometedores, que geralmente continham documentos maliciosos e usavam engenharia social para convencer as vítimas a habilitar macros.

O Emotet funcionava como "malware-as-a-service" e era alugado a outros cibercriminosos para distribuição de outros softwares maliciosos, incluindo ransomware como Ryuk ou trojans bancários como TrickBot. Sua modularidade permitia aos operadores personalizar o ataque a alvos específicos e mudar constantemente as táticas para evitar a detecção.

Embora tenha sido neutralizado em janeiro de 2021 por uma ação coordenada das forças policiais de oito países (incluindo os Países Baixos, Alemanha e EUA), há preocupações de que possa ressurgir no futuro, como já aconteceu com muitos outros botnets.

Como saber se meu computador faz parte de um botnet?

A detecção de um botnet pode ser difícil, pois o malware moderno é projetado para permanecer oculto e discreto. Você deve ficar atento se o computador fica lento sem motivo aparente, se o ventilador frequentemente dispara em alta velocidade mesmo durante trabalho comum ou se nota atividade de rede incomum quando não está usando o computador ativamente.

Outros sinais de alerta podem ser comportamento estranho dos navegadores da web, como redirecionamentos inesperados ou abertura automática de novas abas. Suspeitas também são quaisquer alterações inexplicáveis nas configurações do sistema, eventos de sistema incomuns ou mensagens de erro aparecendo em grande quantidade.

Um sintoma muito preocupante é quando seus contatos em redes sociais começam a receber mensagens que você conscientemente não enviou – isso pode indicar que atacantes ganharam acesso às suas contas ou que seu computador está ativamente espalhando malware.

Como proteger seu dispositivo de um botnet?

A prevenção é sempre melhor que o remédio, especialmente quando falamos de botnets. Abaixo, listamos algumas maneiras de proteger seus dispositivos.

Mantenha os softwares atualizados

Atualizações regulares do sistema operacional e dos aplicativos são essenciais. Fabricantes de software lançam regularmente patches de segurança que corrigem vulnerabilidades que poderiam ser exploradas para infectar seu dispositivo.

Use senhas fortes e autenticação de dois fatores

Senhas fortes e únicas para cada conta e a autenticação de dois fatores reduzem significativamente o risco de acesso não autorizado. Considere usar um gerenciador de senhas que ajude a manter controle sobre suas credenciais. Você também pode utilizar aplicativos de autenticação.

Seja cauteloso ao abrir e-mails e baixar arquivos

Não abra anexos ou links em e-mails de remetentes desconhecidos. Mesmo que o e-mail pareça vir de alguém conhecido, se for inesperado ou parecer suspeito, verifique sua autenticidade por outro canal de comunicação. Por exemplo, ligue para a pessoa ou entre em contato via redes sociais.

Instale software apenas de fontes confiáveis

Baixe e instale aplicativos apenas de lojas oficiais ou diretamente dos sites dos fabricantes. Evite softwares piratas, que muitas vezes contêm malwares.

Use software de segurança de qualidade

Invista em uma solução de segurança que ofereça proteção em tempo real contra diferentes tipos de ameaças. Além disso, realize escaneamentos completos do sistema regularmente.

Proteja sua rede doméstica

Altere as credenciais padrão no seu roteador, utilize a criptografia WPA3, se disponível, e atualize regularmente o firmware do roteador.

O que fazer se o meu computador estiver infectado?

Se você suspeitar que seu computador faz parte de um botnet, as seguintes etapas podem ajudar:

1. Desconecte o dispositivo da internet para que ele não possa mais se comunicar com o servidor C&C ou realizar atividades maliciosas.
2. Altere todas as senhas de outro dispositivo não infectado.
3. Execute uma varredura completa com um software antivírus em modo de inicialização segura, que limita a capacidade do malware de se defender ativamente.
4. Use ferramentas especializadas de remoção de botnets oferecidas por empresas de segurança reconhecidas.
5. Considere reinstalar o sistema operacional em casos de infecção grave. Esta é a maneira mais confiável de se livrar de malwares persistentes, embora seja demorada.

Lembre-se de que na luta contra botnets, todos estamos no mesmo barco. Qualquer computador que permanecer desprotegido pode se tornar uma arma nas mãos de cibercriminosos. Você pode se defender sendo cauteloso ao navegar na internet e instalando programas antivírus de qualidade.