Spams : les botnets s'adaptent en changeant de stratégie
Selon un rapport publié par Symantec, les botnets, réseaux de machines zombis responsables de l'envoi de l'immense majorité des spams, se développent de plus en plus rapidement, notamment grâce à l'arrivée de nouveaux acteurs adoptant des stratégies différentes. Les botnets sont responsables de l'envoi de 87,9 % des spams. Telle est l'une des conclusions de la dernière édition du rapport trimestriel MessageLabs Intelligence Report publié par Symantec. Selon ce rapport, Maazben, un tout nouveau botnet de spams liés aux casinos, a connu une croissance fulgurante depuis son lancement fin mai. Son développement s'est accéléré le mois dernier pour passer de 0,5 % de tous les spams en août à 1,4 % en septembre. Tandis que Rustock, un ancien botnet parmi les plus développés, a doublé de volume depuis juin. Si c'est le botnet le plus important en nombre de bots (entre 1,3 et 1,9 millions d'ordinateurs zombies), sa production par bot reste faible. La technologie des botnets a su évoluer « L'an dernier, plusieurs FAI ont dû fermer pour avoir hébergé des réseaux de machines zombies, ce qui a largement affaibli les botnets », explique Paul Wood, analyste chez Symantec. « Les botnets dominants ont été frappés de plein fouet, comme ce fut le cas de Cutwail. Cela ne va pas durer car la technologie des botnets a su évoluer depuis fin 2008. Les dernières fermetures de FAI n'ont plus autant d'impact puisqu'elles ne durent plus que quelques heures, contre des semaines auparavant. » Deux autres botnets rivalisent pour s'emparer de la position de « leader » occupée jusque-là par Cutwail. Il s'agit de Grum, qui fait la moitié de la taille de Rustock mais distribue 23,2 % des spams, et de Bobax, qui représente 15,7 % des envois. Au plus fort, Cutwail avait atteint 45,8 %. Une fenêtre d'action réduite à quelques jours Le rapport MessageLabs Intelligence constate également qu'un déclin de la période d'essai des noms de domaine, ainsi que la possibilité d'annuler une inscription pendant un délai de grâce de 5 jours, peut être à l'origine d'un changement de la nature malveillante des sites Web. Cela suggère que les noms de domaine malveillants sont désormais plus souvent d'anciens sites corrompus que de nouvelles inscriptions. En corollaire, une analyse des sites Web créés délibérément pour distribuer des programmes malveillants révèle que les noms de domaine « jeunes », actifs depuis trois mois au plus lorsqu'il sont frappés d'interdiction, sont relativement peu nombreux et presque tous rapidement repérés puis bloqués. Avec une fenêtre d'action aussi petite, il n'est pas surprenant que les agresseurs inscrivent les noms de domaine de plus en plus vite, ce qui sous-entend qu'ils travaillent très dur pour créer de nouveaux domaines et corrompre de nouveaux sites Web. En règle générale, les programmes malveillants que distribuent ces sites n'évoluent pas rapidement. Leur rythme d'apparition correspond à un tiers seulement du rythme de création de noms de domaine malveillants. Une analyse des noms de domaine plus anciens montre que 90 % d'entre eux ne sont fermés qu'après 138 jours d'activité, soit longtemps après leurs cadets. 80 % des noms de domaine bloqués sont des sites Web légitimes ayant été corrompus. Les cybercriminels profitent gratuitement du système « Un agresseur a davantage intérêt à compromettre un site Web légitime qu'à créer un nom de domaine spécialement pour distribuer des programmes malveillants », conclut Paul Wood. Et d'ajouter : « Il perdra moins de temps à détourner des sites Web et peut compter sur une durée plus longue de distribution. De plus, avec cette règle qui autorise l'inscription gratuite d'un nom de domaine et son annulation dans les cinq jours, les cybercriminels peuvent profiter du système sans jamais payer la distribution de leurs programmes malveillants.
