Em novembro 21, 2021 pesquisadores da 360NetLab obtiveram uma amostra do ainda maior botnet observado. Recebeu o nome de rosa por causa de suas funções, começando com a palavra rosa. Durante o horário de pico, o PinkBot tinha controle sobre 1.6 milhões de dispositivos com a maioria deles (96%) localizado na China. Com uma arquitetura muito robusta, ele visa principalmente roteadores de fibra baseados em mips. O botnet usa uma mistura de serviços de terceiros, P2P e C2s centrais para que seus bots controlem as comunicações. Com uma verificação absoluta das comunicações C2, ele garante que os nods do Botnet não sejam facilmente desconectados ou assumidos.
O maior botnet poderia ganhar controle sobre 1.6 milhões de dispositivos
No dia 30 de novembro, 2019 parceiro de segurança não identificado informou o 360Netlab que eles detectaram 1,962,308 IPs ativos diários exclusivos deste botnet atingindo-os. pesquisadores’ própria observância mostrou o número de 1.65 milhão. A maior concentração ocorreu na China (96%) espalhando por 33 províncias. Essas operadoras afetadas incluem a China Telecom (>15%) e China Unicom (>80%).
A partir dos dados calculados em várias dimensões, como dados do NetFlow, sondagem ativa, e monitoramento em tempo real, o número de endereços IP de nós de bot conectados a esta rede de bots ultrapassa 5 milhão. Como IPs de banda larga domésticos são atribuídos dinamicamente, o tamanho correto dos dispositivos infectados por trás deles não pode ser calculado com precisão, e presume-se que o número real de dispositivos infectados está na casa dos milhões.
“Uma das principais bases da medição é que o número de IPs conectados ao C2 em um minuto ultrapassou bem mais de um milhão,” de acordo com um relatório da Equipe Técnica Nacional de Resposta a Emergências de Rede de Computadores / Centro de Coordenação da China (CNCERT / CC).
Traços do PinkBot no Github
Os pesquisadores rastrearam o PinkBot até outubro 16, 2018. Naquela época, seus criadores tinham uma conta pink78day no Github. Agora o invasor fechou a conta. Atualmente mypolo111 criado no final de novembro 2019 existe no Github. O hacker pode alterar instantaneamente uma conta, apenas adicionando um novo registro de transação à sua carteira BTC. Então você não pode simplesmente bloquear a conta. Você deve bloquear a carteira BTC especificada para interromper o PinkBot. O invasor também usou um site chinês para distribuir o Botnet com lógica semelhante ao projeto Github.
Um botnet (abreviação de “rede de robôs”) significa uma rede de computadores infectados com malware da qual uma única parte pode obter controle remotamente. Cada máquina individual no controle atende pelo nome de bot. Um invasor pode comandar bots para realizar várias ações criminosas. Normalmente inclui Ataques DDoS, intrusões direcionadas, spam de e-mail e violação financeira. Além disso, os hackers podem até alugar acesso a seções de sua botnet no mercado negro.
