Barracuda full logo

Principales menaces du paysage des botnets en 2024

Thèmes:
21 mars 2025
|
Christine Barry

Dans notre dernier article sur les botnets, nous avons exploré la terminologie, les architectures et les capacités de ces outils d’attaque polyvalents. Cet article examinera de plus près les botnets dominants de l’année qui vient de s’écouler. 

Le plus grand botnet connu, le botnet 911 S5, a été démantelé en 2024. À son apogée, il comptait environ 19 millions de bots actifs opérant dans 190 pays. Le botnet 911 S5 se propageait par le biais d’applications VPN infectées, telles que MaskVPN, DewVPN, ShieldVPN et quelques autres. Un botnet peut inclure des ordinateurs personnels, des serveurs d’entreprise, des appareils mobiles et des dispositifs de l’Internet des objets (IoT) tels que des thermostats, des caméras et des routeurs intelligents. La composition du botnet dépend du malware utilisé. Par exemple, le nouveau botnet Eleven11bot n’utilise que des appareils HiSilicon équipés du logiciel TVT-NVMS9000, car le malware est conçu pour exploiter une vulnérabilité présente sur ces appareils. Cela limite la composition et la taille du botnet, le botmaster pouvant toutefois ajouter de nouvelles capacités pour étendre le réseau. 

Les dommages causés par les attaques de botnets se manifestent de multiples façons : perturbations des activités, opérations de vol de données à grande échelle, campagnes de distribution de ransomwares et même activités de cryptojacking (où les ressources informatiques sont détournées pour le minage de cryptomonnaies). Les effets en cascade de ces attaques comprennent des violations de données, des pertes financières et des atteintes à la réputation qui peuvent prendre des années à être surmontées.

Les botnets, les botmasters et leurs capacités évoluent constamment. Tout comme les groupes de ransomware, les botmasters et autres acteurs malveillants affiliés souhaitent étendre la portée de leurs attaques. Ils peuvent se spécialiser dans un type de crime spécifique, mais ils amélioreront leurs opérations pour infecter davantage d’appareils et ajouter de la redondance à leurs réseaux. On ne sait pas exactement combien de botnets sont actifs à un instant donné, ni combien apparaissent ou sont démantelés chaque année. L’activité des botnets est généralement mesurée par des indicateurs d’attaque plutôt que par leur nombre et leur envergure. Cependant, une étude récente a révélé que l’activité des botnets devenait de plus en plus intense et de plus en plus destructrice. Quelques conclusions clés :

  • Le nombre total d’attaques DDoS en 2024 a augmenté de 53 % par rapport à 2023.
  • L’attaque DDoS la plus puissante de 2024 a culminé à 1,14 Tbit/s, soit 65 % de plus que le record de 0,69 Tbit/s de l’année précédente.
  • Le plus grand botnet détecté en 2024 était composé de 227 000 appareils (le plus grand botnet de 2023 en comprenait « seulement » 136 000). Cette croissance rapide de l’envergure des botnets est attribuée à l’augmentation du nombre d’appareils obsolètes dans les pays en développement.

L’étude a également révélé que les attaques multivecteurs avaient augmenté de 8 % en 2023, ce qui signifie qu’elles sont suffisamment sophistiquées pour attaquer la même cible de plusieurs manières. Nous aborderons les attaques multivecteurs dans un prochain article.

Les principaux botnets de 2024

Nous ne pouvons pas présenter tous les botnets actifs l’année dernière, mais nous pouvons en examiner quelques-uns. Voici quelques-uns des botnets dominants de 2024.

Botnet Phorpiex

Phorpiex est actif depuis plus de dix ans, avec une pause de près de cinq mois en 2021, lorsque l’opérateur d’origine a fermé le réseau et vendu le code source

Capture d'écran partielle d'un message de forum annonçant la vente de Phorpiex

Capture d'écran partielle d'un message de forum annonçant la vente de Phorpiex

Il a été remis en ligne en décembre de la même année, sous la forme d’une variante appelée « Trik » ou « Twizt ». Cette nouvelle version pouvait fonctionner en mode pair-à-pair, renforçant la résilience en rendant l’utilisation de serveurs C2C (commande et contrôle) inutile. Phorpiex est principalement utilisé pour distribuer des ransomwares via des campagnes de spams massives. Il a également été particulièrement associé à des campagnes de sextortion et à la diffusion de charges utiles de malwares et de ransomwares. En avril 2024, la New Jersey Cybersecurity and Communications Integration Cell (NJCCIC) a identifié une campagne de ransomware LockBit diffusée par le botnet Phorpiex. Il s’agit de l’une des attaques de Phorpiex les plus remarquables de l’année 2024.

Ce malware a fait l’objet de plusieurs itérations pour garder une longueur d’avance sur les mesures de sécurité. Les mises à jour se concentrent généralement sur l’amélioration des capacités de distribution de spam du botnet et sur le renforcement de sa capacité à diffuser efficacement d’autres charges utiles de malwares. Au plus fort de la pandémie, des opérateurs ont habilement profité de la main-d’œuvre à distance en exploitant les failles d’applications telles que Zoom. Les informations recueillies par ces méthodes étaient utilisées pour affiner leurs supports d’extorsion.

Phorpiex n’est pas le botnet le plus sophistiqué, mais son utilisation dans la distribution de ransomwares et dans les campagnes d’hameçonnage en a fait l’une des principales menaces de 2024 en termes de volume.

Botnet Androxgh0st

Androxgh0st a été identifié par des chercheurs fin 2022, mais il est possible que son activité remonte à une date antérieure. Les analystes ont découvert des similitudes avec le code du malware du botnet Mozi, et ils ont constaté qu’Androxgh0st déployait des charges utiles Mozi sur des appareils IoT. Ce lien significatif laisse penser qu’Androxgh0st était une intégration ou une évolution de Mozi. Le botnet Mozi a « disparu » en août 2023 : on ne sait pas avec certitude si Mozi a été arrêté ou s’il a complètement fusionné avec Androxgh0st. Le Federal Bureau of Investigation (FBI) et la Cybersecurity and Infrastructure Security Agency (CISA) publient un avis conjoint sur la cybersécurité (Cybersecurity Advisory, CSA) en janvier 2024 :

Le malware Androxgh0st met en place un botnet pour l’identification et l’exploitation des victimes dans les réseaux vulnérables, et cible les fichiers contenant des informations confidentielles, telles que les identifiants, pour diverses applications de haut niveau.

Le FBI et la CISA publient un avis conjoint sur la cybersécurité concernant Androxgh0st

Le FBI et la CISA publient un avis conjoint sur la cybersécurité concernant Androxgh0st

Les chercheurs en sécurité soupçonnent « avec peu de certitude » qu’Androxgh0st est géré par des acteurs malveillants qui défendent les intérêts de la République populaire de Chine (RPC). Il représente une nouvelle génération de botnets hybrides qui combinent les capacités de plusieurs sources.  Le botnet cible les systèmes Windows, Mac et Linux et exploite les ordinateurs personnels, les serveurs web et les appareils IoT. Ces capacités étendent la portée du botnet sur les réseaux et l’Internet mondial. Beaucoup considèrent Androxgh0st comme une menace importante pour les infrastructures critiques et la sécurité nationale.

Ce qui distingue ce botnet, ce sont ses vastes capacités d’exploitation : il cible les vulnérabilités des VPN, des firewalls, des routeurs et des applications web, ce qui lui confère une polyvalence exceptionnelle permettant de compromettre divers types de systèmes. De par cette adaptabilité, il est particulièrement difficile de se défendre contre ce botnet. Androxgh0st est connu pour la diversité de son portefeuille d’attaques, notamment les attaques DDoS, les opérations de vol de données et le vol d’identifiants axé sur le cloud.

Gafgyt (Bashlite) Botnet

Gafgyt, initialement nommé Bashlite, est un botnet affectant les appareils IoT et les systèmes basés sur Linux. Il a été observé pour la première fois vers 2014 et a su s’adapter aux avancées en matière de cybersécurité et de renseignement sur les menaces.  Il en existe plusieurs variantes, dont certaines intègrent le code du botnet Mirai pour étendre leurs capacités de commande et d’attaque. Les botnets basés sur Gafgyt sont capables de lancer des attaques par force brute et DDoS, de voler des identifiants et de procéder à du cryptominage en utilisant la puissance des GPU. Gafgyt élimine également tout malware concurrent déjà présent sur le système.

 

Flux d’attaque visuel de la variante du malware de botnet Gafgyt

Flux d’attaque visuel de la variante du malware de botnet Gafgyt

En 2024, Gafgyt a commencé à cibler les environnements cloud natifs, lui permettant de mener des opérations plus gourmandes en ressources CPU. Il s’est avéré particulièrement efficace pour infecter les routeurs sans fil de fabricants tels que TP-Link et Zyxel. Il est actuellement exploité comme botnet en tant que service (BaaS) et lié à un acteur de la menace appelé Keksec, également connu sous le nom de FreakOut.

Gafgyt exploite les mots de passe faibles et les vulnérabilités connues des appareils IoT et des environnements cloud. Il semble actuellement avoir pour double objectif de générer des revenus grâce au minage de cryptomonnaies, tout en conservant sa capacité à lancer de puissantes attaques DDoS multivecteurs. Cela le rend attrayant pour les criminels cherchant à exploiter plusieurs sources de revenus via une seule opération * en tant que service.

Botnet Mirai

Mirai a une histoire intéressante. Il a été créé en 2016 par Paras Jha, Josiah White et Dalton Norman. Paras Jha et ses associés ont conçu Mirai pour lancer des attaques DDoS contre des serveurs concurrents, pour ensuite proposer des services de protection par l’intermédiaire de leur société, ProTraf Solutions. Brian Krebs a joué un rôle déterminant dans l’enquête qui a permis de traduire les botmasters de Mirai en justice. Vous trouverez des articles sur Brian Krebs ici et plus d’informations sur le contexte ici.

 

Fuite du code source de Mirai sur Hackforums, via KrebsOnSecurity

Fuite du code source de Mirai sur Hackforums, via KrebsOnSecurity

La fuite du code source de Mirai a marqué un tournant dans le secteur de la cybersécurité. En voici les impacts immédiats et à long terme :

  • Les obstacles au lancement d’un botnet ont été réduits, car toute personne possédant des compétences techniques de base pouvait désormais utiliser le code Mirai comme point de départ. Cela a conduit à une augmentation des attaques DDoS et à une prolifération de botnets hybrides intégrant les capacités de Mirai. L’attaque de 2016 contre Dyn a exploité une variante de Mirai.
  • Mirai a exposé les risques liés à l’utilisation d’identifiants et de configurations par défaut sur les appareils IoT. Avant Mirai et la prolifération des botnets, les risques liés aux appareils IoT n’étaient que théoriques. Le secteur a renforcé les normes de sécurité de l’IoT après la fuite.
  • Le code divulgué a accéléré l’apparition de nouvelles menaces. Avec à leur disposition un malware de botnet fonctionnel dès le départ, les acteurs malveillants pouvaient se concentrer sur le développement de nouvelles fonctionnalités, telles que le minage de cryptomonnaies et les attaques DDoS multivecteurs.

Mirai est spécialisé dans des attaques DDoS puissantes lancées par des appareils IoT. Plusieurs fournisseurs ont découvert qu’environ 72 % des nouveaux malwares IoT contenaient du code Mirai. Cela peut être attribué à la logique de force brute et aux protocoles de commande et de contrôle originaux, qui sont généralement clonés dans les nouvelles variantes.

Un paysage fluide

La menace que représentent les botnets dans le monde est en constante évolution.  Lorsqu’un botnet est neutralisé par l’application de lois ou de mesures de sécurité, de nouvelles variantes ou de tout nouveaux botnets émergent rapidement pour combler le vide. Cette évolution constante complique la tâche des défenseurs qui doivent protéger leurs actifs contre les menaces inconnues actuelles et futures. Nous pouvons toutefois identifier plusieurs tendances clés dans le paysage des botnets :

  • Une spécialisation croissante, certains botnets se concentrant sur des types d’attaques ou des cibles spécifiques.
  • Une plus grande sophistication des techniques d’évasion, rendant la détection et l’attribution plus difficiles.
  • La commercialisation des capacités des botnets par le biais de modèles de « botnets en tant que service ».
  • La convergence des capacités des botnets, telles que la diversité des vecteurs d’attaque ou des flux de revenus exploitables par un seul botnet.
  • Le positionnement stratégique des ressources de botnets dans des juridictions où la coopération internationale en matière de lutte contre la cybercriminalité est limitée.

En plus des solutions technologiques, une protection efficace contre les botnets implique la sensibilisation des utilisateurs et la préparation des organisations. En restant informés des nouvelles menaces et en mettant en œuvre des mesures de sécurité complètes, les organisations et les utilisateurs peuvent réduire considérablement leur vulnérabilité face à ces menaces puissantes et persistantes en matière de cybersécurité.

Atténuation et protection contre les bots

La protection contre les menaces liées aux botnets nécessite l’adoption d’une approche à plusieurs niveaux portant à la fois sur la prévention des infections et sur l’atténuation des attaques. Barracuda Advanced Bot Protection est l’outil de choix pour lutter contre les attaques de botnets multivecteurs. En fournissant des mécanismes de défense proactifs, une visibilité accrue et des contrôles personnalisables, il permet aux entreprises de se protéger et de conserver leur avantage concurrentiel dans un monde de plus en plus automatisé. 

 

 

 

Christine Barry

Christine Barry est Senior Chief Blogger et Social Media Manager chez Barracuda.  Avant de rejoindre Barracuda, Christine a été ingénieure de terrain et chef de projet dans l'éducation et auprès de PME pendant plus de 15 ans. Elle est titulaire de plusieurs diplômes en technologie et en gestion de projet, d'un "Bachelor of Arts" et d'un "Master of Business Administration".Elle est diplômée de l'université du Michigan.

Connectez-vous avec Christine sur LinkedIn.

Billets associés :
Cyber crooks getting younger — and more dangerous
Cyber crooks getting younger — and more dangerous
Lazarus Group: A criminal syndicate with a flag
Lazarus Group: A criminal syndicate with a flag
 Choc du système : le ransomware Storm-0501 migre vers le cloud
Choc du système : le ransomware Storm-0501 migre vers le cloud
 Les principaux acteurs de la menace en août : ransomware, espionnage et voleurs d’informations
Les principaux acteurs de la menace en août : ransomware, espionnage et voleurs d’informations
Rechercher dans le blog

Rapport 2025 sur les ransomwares

Principales conclusions concernant l’expérience et l’impact des ransomwares sur les organisations du monde entier

Recevez le rapport d'enquête

S’abonner au blog de Barracuda.

Inscrivez-vous pour recevoir des informations sur les menaces, des commentaires sur le secteur et bien plus encore.

Sécurité des vulnérabilités gérée : correction plus rapide, risques réduits, conformité simplifiée 

Découvrez à quel point il peut être facile de trouver les vulnérabilités que les cybercriminels cherchent à exploiter

REGARDER LE WEBINAIRE

Abonnez-vous pour recevoir les nouvelles à connaître sur les menaces, des commentaires sur notre domaine d’activité et bien plus encore.

Recevez directement dans votre boîte de réception toutes les dernières nouvelles, avec nos actualités sur les recherches et nos analyses.