În ultimii doi ani, botneturile au cunoscut o evoluție accelerată, transformându-se în rețele masive de dispozitive compromise – computere, servere și echipamente inteligente Internet of Things (IoT) – controlate centralizat pentru desfășurarea de operațiuni cibernetice malițioase. Agenția pentru Securitate Cibernetică avertizează că acestea exploatează vulnerabilități IoT și AI, reușind să infecteze milioane de dispozitive și să genereze perturbări majore prin atacuri DDoS de amploare.
Ce este un botnet?
Din punct de vedere tehnic, un botnet este o colecție de dispozitive conectate la internet, infectate cu malware, care funcționează prin intermediul unor servere de comandă și control (C2). Exemple recente: Kimwolf (1,8 milioane Android TV infectate în 2025 pentru DDoS), Aisuru și variante Mirai, care țintesc routere și camere IP cu parole default.
Cum funcționează un botnet?
Infecția inițială se face prin phishing, drive-by downloads (se descarcă automat), vulnerabilități zero-day sau date de autentificare slabe (ex: admin/admin pe IoT). Odată instalat, botul:
● Se conectează silențios la C2 via HTTP/HTTPS, IRC, DNS tunneling sau P2P evitând detectarea.
● Așteaptă instrucțiuni de la centrul de comandă: DDoS (flood SYN/UDP), criptomining, furt credențiale sau propagare automată.
Cum pot fi detectate botneturile?
Detectarea botneturilor presupune analiza traficului de rețea pentru identificarea anomaliilor, precum volume neobișnuite de date, semnalizarea periodică sau comunicații suspecte cu infrastructuri C2. Sunt utilizate semnături din baze de date malware și analiza comportamentală.
Totodată, modelele de Machine Learning permit detectarea anomaliilor în special în mediile IoT, prin analiza fluxurilor de trafic și a tiparelor Domain Name System (DNS) sau P2P. Detectarea este susținută de schimbul colaborativ de indicatori de compromitere (IOC-uri) și de utilizarea unor instrumente specializate.
Măsuri de protecție împotriva botneturilor
Protecția împotriva botneturilor presupune o abordare pe mai multe niveluri, cunoscută sub conceptul de apărarea stratificată, care include următoarele măsuri:
● Actualizări regulate și gestionarea actualizărilor, prin corectarea vulnerabilităților CVE;
● Autentificare prin utilizarea MFA și a parolelor complexe, schimbarea datelor de autentificare implicite IoT și segmentarea rețelei prin VLAN-uri;
● Securitate la nivel de endpoint (echipamente conectate la rețea), prin utilizarea soluțiilor antivirus, firewall și soluții EDR;
● Protecție la nivel de rețea, prin DPI (Deep Packet Inspection), rate limiting anti-DDoS și blocarea IP-urilor parte din botnet;
● Educație și monitorizare continuă, prin training-uri anti-phishing și utilizarea unui SIEM pentru alerte în timp real.
Ce faci dacă suspectezi o infectare?
În situația în care există suspiciuni de infectare, manifestate prin trafic neobișnuit, utilizare excesivă a resurselor (memorie, procesor) sau conexiuni neautorizate, este necesară decontaminarea dispozitivului, care presupune următorii pași:
1. Izolare imediată prin deconectarea dispozitivului de la internet sau rețea și documentarea simptomelor observate;
2. Scanare în Safe Mode, prin bootarea sistemului și rularea unui full scan cu instrumente specializate precum Malwarebytes, ESET Online Scanner sau QuickHeal Bot Remover;
3. Resetare și restaurare, prin schimbarea tuturor parolelor de pe un alt dispozitiv, aplicarea patch-urilor OS și restaurarea dintr-un backup curat și verificat;
4. Verificare post-remediere, prin monitorizare cu Wireshark, rularea unei rescanări și, în caz de persistență, efectuarea unui factory reset (resetare) sau reinstalarea completă a sistemului de operare.
Prevenția, prin actualizarea constantă a sistemelor, utilizarea unor măsuri adecvate de protecție și monitorizarea continuă a infrastructurilor IT, rămâne prioritară pentru reducerea vulnerabilităților și limitarea impactului incidentelor cibernetice. Agenția pentru Securitate Cibernetică reamintește că informarea corectă și respectarea bunelor practici contribuie la consolidarea rezilienței digitale și menținerea unui mediu online mai sigur pentru toți.
Notă: Acest material reprezintă o inițiativă de informare a Agenției de presă IPN privind mediul online și infrastructura digitală, realizată cu sprijinul Agenției pentru Securitate Cibernetică.
The post Explainer | Botneturile: ce sunt, cum funcționează și cum ne putem proteja? appeared first on ipn.md.