Tính kinh tế của botnet

Tác giả sysadmin, T.M.Hai 11, 2023, 05:44:41 CHIỀU

« Chủ đề trước - Chủ đề tiếp »

0 Thành viên và 1 Khách đang xem chủ đề.

Tính kinh tế của botnet


Trong mười năm qua, botnet đã phát triển từ các mạng nhỏ gồm hàng chục PC được điều khiển từ một C&C (trung tâm chỉ huy và điều khiển) duy nhất thành các hệ thống phân tán phức tạp bao gồm hàng triệu máy tính được điều khiển phi tập trung. Tại sao những mạng lưới zombie khổng lồ này được tạo ra? Câu trả lời có thể được đưa ra trong một từ duy nhất: tiền.


Botnet hay mạng zombie là mạng gồm các máy tính bị nhiễm chương trình độc hại cho phép tội phạm mạng điều khiển các máy bị nhiễm từ xa mà người dùng không hề hay biết. Mạng zombie đã trở thành nguồn thu nhập cho toàn bộ nhóm tội phạm mạng. Chi phí duy trì một mạng botnet luôn thấp và mức độ kiến thức cần thiết để quản lý mạng này ngày càng giảm dần có lợi cho sự phát triển về mức độ phổ biến và do đó, làm tăng số lượng các botnet.
Vậy người ta bắt đầu như thế nào? Tội phạm mạng cần botnet sẽ làm gì? Có rất nhiều khả năng, tùy thuộc vào kỹ năng của tội phạm. Thật không may, những người quyết định thiết lập botnet từ đầu sẽ không gặp khó khăn gì khi tìm hướng dẫn trên Internet.

Bạn chỉ có thể tạo một mạng zombie mới. Điều này liên quan đến việc lây nhiễm vào máy tính bằng một chương trình đặc biệt gọi là bot. Bot là các chương trình độc hại kết hợp các máy tính bị xâm nhập vào mạng botnet. Nếu ai đó muốn bắt đầu 'kinh doanh' không có kỹ năng lập trình, thì có rất nhiều lời đề nghị 'bán bot' trên các diễn đàn. Việc xáo trộn và mã hóa mã của các chương trình này cũng có thể được thực hiện theo cách tương tự để bảo vệ chúng khỏi bị các công cụ chống vi-rút phát hiện. Một lựa chọn khác là đánh cắp mạng botnet hiện có.

Bước tiếp theo của tội phạm mạng là lây nhiễm phần mềm độc hại bot vào máy người dùng. Điều này được thực hiện bằng cách gửi thư rác, đăng tin nhắn trên diễn đàn người dùng và các dịch vụ mạng xã hội hoặc thông qua tải xuống theo từng ổ đĩa. Ngoài ra, bản thân bot có thể bao gồm chức năng tự sao chép, như virus và sâu.

Các kỹ thuật kỹ thuật xã hội khác nhau được sử dụng khi yêu cầu gửi thư rác hoặc đăng tin nhắn trên diễn đàn người dùng và dịch vụ mạng xã hội nhằm khiến nạn nhân tiềm năng cài đặt bot. Ví dụ: người dùng có thể được cung cấp một video thú vị để xem, video này yêu cầu tải xuống một codec đặc biệt. Tất nhiên, người dùng sẽ không thể xem video sau khi tải xuống và khởi chạy tệp. Trên thực tế, người dùng có thể sẽ không nhận thấy bất kỳ thay đổi nào cả nhưng đồng thời máy tính sẽ bị nhiễm virus. Kết quả là, máy tính sẽ trở thành một người hầu ngoan ngoãn tuân theo mệnh lệnh của chủ sở hữu botnet mà người dùng không hề khôn ngoan hơn.

Một phương pháp khác được sử dụng rộng rãi liên quan đến việc lén lút tải xuống phần mềm độc hại thông qua tải xuống từng ổ đĩa. Phương pháp này dựa trên việc lợi dụng nhiều lỗ hổng khác nhau trong các ứng dụng, chủ yếu là các trình duyệt phổ biến, để tải phần mềm độc hại xuống máy tính khi người dùng truy cập trang web bị nhiễm virus. Điều này được thực hiện bằng các chương trình đặc biệt được gọi là khai thác, sử dụng các lỗ hổng không chỉ để bí mật tải xuống mà còn để chạy một chương trình độc hại mà người dùng không hề hay biết. Nếu cuộc tấn công thành công, người dùng thậm chí sẽ không nghi ngờ rằng có vấn đề gì đó với máy tính. Phương pháp phát tán phần mềm độc hại này đặc biệt nguy hiểm vì hàng chục nghìn người bị lây nhiễm khi một tài nguyên web phổ biến bị xâm phạm.


Một bot có thể được thiết kế để bao gồm tính năng tự lan truyền trong mạng máy tính, ví dụ: bằng cách lây nhiễm tất cả các tệp thực thi mà nó có thể truy cập hoặc bằng cách quét mạng để tìm các máy tính dễ bị tấn công và lây nhiễm chúng. Virus.Win32.Virut và Net-Worm. Họ Win32.Kido là ví dụ về các bot như vậy. Cái trước là kẻ lây nhiễm tập tin đa hình, cái sau là sâu mạng. Thật khó để đánh giá quá cao tính hiệu quả của phương pháp này: ngày nay, mạng lưới zombie do Kido tạo ra là mạng lưới lớn nhất thế giới.

Chủ sở hữu botnet có thể kiểm soát máy tính bị nhiễm của người dùng thông qua trung tâm chỉ huy và điều khiển của botnet, bằng cách kết nối với bot thông qua kênh IRC, kết nối web hoặc bất kỳ phương tiện khả dụng nào khác. Chỉ cần hợp nhất vài chục máy vào một mạng là đủ để botnet bắt đầu kiếm tiền cho chủ nhân của nó. Thu nhập tỷ lệ thuận với sự ổn định và tốc độ tăng trưởng của mạng zombie.

1. Chủ sở hữu botnet kiếm tiền như thế nào

Vậy chủ sở hữu botnet kiếm tiền bằng cách nào với máy tính bị nhiễm virus? Có một số nguồn thu nhập chính: tấn công DDoS, đánh cắp thông tin bí mật, thư rác, lừa đảo, thư rác SEO, gian lận nhấp chuột và phân phối phần mềm quảng cáo và chương trình độc hại. Cần lưu ý rằng, nếu được chọn, bất kỳ nguồn nào trong số này đều có thể mang lại cho tội phạm mạng một khoản thu nhập tốt. Nhưng tại sao lại chọn? Một botnet có thể thực hiện tất cả các hoạt động này... cùng một lúc!


2. Tấn công DDoS

Nhiều nhà nghiên cứu tin rằng ngay cả những botnet đầu tiên cũng cung cấp chức năng DDoS. Tấn công DDoS là một cuộc tấn công vào hệ thống máy tính nhằm mục đích buộc hệ thống từ chối dịch vụ, khi hệ thống không thể nhận và xử lý yêu cầu từ người dùng hợp pháp nữa. Một trong những phương thức tấn công phổ biến nhất liên quan đến việc gửi nhiều yêu cầu đến máy tính nạn nhân, dẫn đến từ chối dịch vụ nếu máy tính bị tấn công không có đủ tài nguyên để xử lý tất cả các yêu cầu đến. Các cuộc tấn công DDoS là vũ khí lợi hại của tin tặc và botnet là công cụ lý tưởng để thực hiện các cuộc tấn công như vậy. Các cuộc tấn công DDoS có thể được sử dụng như một công cụ để cạnh tranh không lành mạnh hoặc là biểu hiện của khủng bố mạng.

Chủ sở hữu botnet có thể cung cấp dịch vụ cho bất kỳ doanh nhân vô đạo đức nào bằng cách tổ chức một cuộc tấn công DDoS vào trang web của đối thủ cạnh tranh. Trang web của đối thủ cạnh tranh sẽ ngừng hoạt động do căng thẳng do cuộc tấn công gây ra và tội phạm mạng sẽ nhận được phần thưởng khiêm tốn (hoặc không quá khiêm tốn). Bản thân chủ sở hữu Botnet có thể sử dụng các cuộc tấn công DDoS theo cách tương tự để tống tiền các công ty lớn. Các công ty thường chọn cách nhượng bộ trước yêu cầu của tội phạm mạng vì việc giải quyết hậu quả của các cuộc tấn công DDoS thành công thậm chí còn tốn kém hơn. Vào tháng 1 năm 2009, một cuộc tấn công vào   Đăng nhập để xem liên kết, một nhà cung cấp dịch vụ lưu trữ web lớn, đã khiến hàng nghìn trang web được lưu trữ trên máy chủ web của công ty không thể truy cập được trong gần 24 giờ. Đó là gì, một động thái bất hợp pháp của một nhà cung cấp dịch vụ lưu trữ nổi tiếng khác trong cuộc chiến giành một vị trí dưới ánh mặt trời, hay Go Daddy đã bị tội phạm mạng tống tiền? Chúng tôi cho rằng cả hai kịch bản đều có khả năng xảy ra. Ngẫu nhiên, chính nhà cung cấp dịch vụ lưu trữ đó đã trải qua một cuộc tấn công tương tự vào tháng 11 năm 2005, nhưng sau đó dịch vụ này không hoạt động được chỉ trong một giờ. Cuộc tấn công mới mạnh hơn nhiều, chủ yếu là do sự phát triển của mạng botnet.


Vào tháng 2 năm 2007, một loạt cuộc tấn công đã được tiến hành nhắm vào các máy chủ tên miền gốc, nơi toàn bộ Internet phụ thuộc vào để hoạt động bình thường.

Không chắc mục đích của các cuộc tấn công là làm sập Internet, vì mạng zombie không thể hoạt động nếu không có Internet. Nhiều khả năng đây là sự thể hiện sức mạnh và khả năng của mạng lưới zombie.

Quảng cáo tổ chức các cuộc tấn công DDoS được hiển thị công khai trên nhiều diễn đàn người dùng dành cho các chủ đề liên quan. Về mức giá, nó có thể dao động từ 50 USD đến vài nghìn USD cho hoạt động liên tục 24 giờ của một mạng botnet thực hiện cuộc tấn công DDoS. Phạm vi giá có ý nghĩa. Nhiệm vụ ngăn chặn việc bán hàng của một cửa hàng trực tuyến khiêm tốn không được bảo vệ trong một ngày có thể được giải quyết bằng một mạng botnet tương đối nhỏ (khoảng một nghìn máy tính) và sẽ khiến tội phạm phải trả một khoản tiền tương đối nhỏ. Nhưng nếu đối thủ là một công ty quốc tế lớn có trang web được bảo vệ tốt thì giá sẽ cao hơn nhiều, vì một cuộc tấn công DDoS thành công sẽ yêu cầu số lượng máy tính zombie lớn hơn nhiều nên khách hàng sẽ phải trả thêm tiền.

Theo   Đăng nhập để xem liên kết, khoảng 190.000 cuộc tấn công DDoS đã được thực hiện trong năm 2008, "kiếm được" khoảng 20 triệu USD cho tội phạm mạng. Đương nhiên, ước tính này không bao gồm doanh thu từ việc tống tiền, vốn không thể đánh giá được.

3. Ăn cắp thông tin bí mật

Thông tin bí mật được lưu trữ trên máy tính của người dùng sẽ luôn thu hút tội phạm mạng. Dữ liệu có giá trị nhất bao gồm số thẻ tín dụng, thông tin tài chính và mật khẩu của các dịch vụ khác nhau, chẳng hạn như email, ftp, hệ thống IM, v.v. Các chương trình độc hại ngày nay cho phép bọn tội phạm chọn dữ liệu chúng muốn bằng cách cài đặt mô-đun liên quan trên máy tính bị nhiễm.

Tội phạm mạng có thể bán thông tin bị đánh cắp hoặc sử dụng thông tin đó vì lợi ích riêng của chúng. Hàng trăm quảng cáo về tài khoản ngân hàng để bán mới xuất hiện trên các diễn đàn ngầm mỗi ngày. Giá của một tài khoản có thể dao động từ $1 đến $1500. Giá tối thiểu thấp chứng tỏ tội phạm mạng tham gia vào hoạt động kinh doanh này phải giảm giá do cạnh tranh. Để kiếm được số tiền thực sự đáng kể, họ cần một luồng dữ liệu mới ổn định, được cung cấp chủ yếu bởi sự phát triển ổn định của mạng lưới zombie.

Thông tin tài chính được các chủ thẻ đặc biệt quan tâm, tức là những người làm giả thẻ ngân hàng. Lợi nhuận từ hoạt động của họ được minh họa rõ ràng qua câu chuyện về một nhóm tội phạm mạng người Brazil đã bị bắt hai năm trước. Họ đã có thể rút 4,74 triệu USD từ tài khoản ngân hàng bằng cách sử dụng thông tin bị đánh cắp từ máy tính.
Dữ liệu cá nhân không liên quan trực tiếp đến tài chính của người dùng là mối quan tâm của tội phạm mạng, những kẻ giả mạo tài liệu, mở tài khoản ngân hàng giả, thực hiện các giao dịch bất hợp pháp, v.v.

Chi phí của dữ liệu cá nhân bị đánh cắp phụ thuộc trực tiếp vào quốc gia cư trú của chủ sở hữu hợp pháp. Ví dụ: một bộ dữ liệu hoàn chỉnh về một cư dân Hoa Kỳ có giá từ 5 đến 8 USD. Dữ liệu về cư dân EU đặc biệt có giá trị trên thị trường chợ đen và đắt gấp hai hoặc ba lần so với dữ liệu của cư dân Hoa Kỳ và Canada. Điều này là do tội phạm mạng có thể sử dụng dữ liệu này ở bất kỳ quốc gia EU nào. Trên toàn thế giới, chi phí trung bình của một gói dữ liệu đầy đủ đối với một người là khoảng 7 USD.

Một loại thông tin khác được botnet thu thập là địa chỉ email. Không giống như số thẻ tín dụng và tài khoản, nhiều địa chỉ email có thể bị lấy cắp từ một máy tính bị nhiễm virus. Các địa chỉ thu thập được sau đó sẽ được rao bán, đôi khi là "với số lượng lớn", tính bằng megabyte. Người gửi thư rác đương nhiên là người mua chính. Một danh sách một triệu địa chỉ email có giá từ 20 đến 100 USD, trong khi những kẻ gửi thư rác tính phí từ 150 đến 200 USD cho một lần gửi thư đến cùng một triệu địa chỉ này, tạo ra lợi nhuận rõ ràng.

Tội phạm cũng quan tâm đến tài khoản người dùng của nhiều dịch vụ trả phí và cửa hàng trực tuyến. Những thứ này chắc chắn rẻ hơn so với tài khoản ngân hàng, nhưng việc bán chúng giúp giảm nguy cơ bị các cơ quan thực thi pháp luật truy tố. Ví dụ: tài khoản Steam, một cửa hàng trực tuyến phổ biến, có quyền truy cập vào 10 trò chơi được bán với giá từ 7 đến 15 USD cho mỗi tài khoản.


4. Lừa đảo

Các trang web lừa đảo mới hiện được sản xuất hàng loạt nhưng chúng cần được bảo vệ khỏi bị đóng cửa. Mạng Zombie bắt buộc phải cung cấp việc triển khai công nghệ thông lượng nhanh, cho phép tội phạm mạng thay đổi địa chỉ IP của trang web cứ sau vài phút mà không ảnh hưởng đến tên miền. Điều này kéo dài thời gian tồn tại của các trang web lừa đảo, khiến chúng khó bị phát hiện và đưa chúng vào chế độ ngoại tuyến. Ý tưởng này liên quan đến việc sử dụng máy tính ở nhà của mọi người là một phần của mạng botnet làm máy chủ web có nội dung lừa đảo. Thông lượng nhanh tốt hơn máy chủ proxy trong việc ẩn các trang web giả mạo trên Web.

Do đó, Rock Phish, một đường dây lừa đảo nổi tiếng, hợp tác với Asprox, một nhà điều hành mạng botnet. Vào giữa năm ngoái, 'Rock Phishers', kẻ chịu trách nhiệm cho một nửa các cuộc tấn công lừa đảo trực tuyến và hàng triệu đô la bị mất bởi người dùng ngân hàng trực tuyến, đã nâng cấp cơ sở hạ tầng của họ để có khả năng tương thích nhanh chóng. Việc này mất khoảng năm tháng và mọi thứ được thực hiện ở mức độ chuyên nghiệp cao.

Thay vì tạo mạng lưới thông lượng nhanh của riêng mình, những kẻ lừa đảo đã mua một giải pháp làm sẵn từ chủ sở hữu mạng botnet Asprox.

Tội phạm mạng, chủ yếu là những kẻ lừa đảo, trả cho chủ sở hữu botnet từ 1000 đến 2000 USD mỗi tháng để lưu trữ các dịch vụ thông lượng nhanh.

Thu nhập trung bình từ lừa đảo có thể so sánh với thu nhập từ việc đánh cắp dữ liệu bí mật bằng các chương trình độc hại và có thể lên tới hàng triệu đô la mỗi năm.

5. Thư rác

Hàng triệu tin nhắn rác được gửi đi trên toàn cầu mỗi ngày. Gửi thư không mong muốn là một chức năng chính của các botnet ngày nay. Theo dữ liệu của Kaspersky Lab, khoảng 80% tổng số thư rác được gửi qua mạng zombie.

Hàng tỷ tin nhắn có quảng cáo về Viagra, đồng hồ nhái, sòng bạc trực tuyến, v.v. được gửi từ máy tính của những người dùng tuân thủ luật pháp. Những tin nhắn này làm xáo trộn các kênh liên lạc và hộp thư. Bằng cách này, tin tặc sẽ làm lộ máy tính của những người dùng vô tội: địa chỉ người gửi mà các thư gửi hàng loạt bị theo dõi sẽ bị các công ty chống vi-rút đưa vào danh sách đen.

Trong những năm gần đây, phạm vi dịch vụ thư rác đã mở rộng bao gồm thư rác ICQ, thư rác trong các dịch vụ mạng xã hội, diễn đàn người dùng và blog. Đây cũng là một 'thành tích' của những người sở hữu botnet: không cần tốn nhiều công sức để thêm một mô-đun mới vào máy khách bot nhằm mở ra những chân trời mới cho một doanh nghiệp mới với những khẩu hiệu như "Spam trên Facebook. Rẻ".

Giá thư rác khác nhau tùy thuộc vào đối tượng mục tiêu và số lượng địa chỉ mục tiêu. Giá của một thư được nhắm mục tiêu có thể dao động từ 70 USD cho vài nghìn địa chỉ đến 1000 USD cho hàng chục triệu địa chỉ.

Trong năm qua, những kẻ gửi thư rác đã kiếm được khoảng 780.000.000 USD từ việc gửi tin nhắn. Một kết quả ấn tượng cho một quảng cáo không ai mong muốn phải không?

6. Thư rác của công cụ tìm kiếm

Một ứng dụng khác cho botnet là tối ưu hóa công cụ tìm kiếm (SEO). Quản trị viên web sử dụng SEO để cải thiện vị trí trang web của họ trong kết quả tìm kiếm, vì họ càng nhận được nhiều khách truy cập sẽ tiếp cận trang web thông qua các công cụ tìm kiếm.

Công cụ tìm kiếm sử dụng một số tiêu chí để đánh giá mức độ liên quan của một trang web. Một trong những thông số chính là số lượng liên kết đến trang web nằm trên các trang hoặc tên miền khác. Càng tìm thấy nhiều liên kết như vậy, robot tìm kiếm sẽ đánh giá trang web càng cao. Các từ được sử dụng trong liên kết cũng ảnh hưởng đến xếp hạng. Ví dụ: liên kết "mua máy tính của chúng tôi" sẽ có trọng số cao hơn đối với các truy vấn như "mua máy tính".

Bản thân SEO là một công việc kinh doanh đang phát triển. Nhiều công ty trả rất nhiều tiền cho các nhà quản trị web để đưa trang web của họ lên vị trí hàng đầu trong kết quả tìm kiếm. Các nhà khai thác Botnet đã mượn một số kỹ thuật của họ và tự động hóa quy trình tối ưu hóa công cụ tìm kiếm.

Vì vậy, nếu bạn thấy nhiều liên kết được tạo bởi một người dùng không xác định hoặc thậm chí là bạn bè của bạn trong các nhận xét về mục nhật ký trực tiếp yêu thích của bạn, đừng ngạc nhiên. Điều đó chỉ có nghĩa là ai đó đã thuê chủ sở hữu mạng botnet để quảng bá tài nguyên web. Một chương trình được thiết kế đặc biệt được cài đặt trên máy tính zombie và để lại các bình luận chứa liên kết đến trang web đang được quảng bá trên các tài nguyên phổ biến.

Giá trung bình của spam SEO bất hợp pháp là khoảng 300 USD mỗi tháng.

7. Cài đặt phần mềm quảng cáo và phần mềm độc hại

Hãy tưởng tượng rằng bạn đang đọc tạp chí ô tô trực tuyến yêu thích của mình và đột nhiên một cửa sổ bật lên xuất hiện, chào bán các phụ kiện ô tô chính hãng. Có vẻ như điều đó không có gì sai, nhưng bạn tự tin rằng mình không cài đặt bất kỳ phần mềm nào để tìm kiếm những thứ hữu ích (hoặc vô dụng). Rất đơn giản: chủ sở hữu botnet đã 'chăm sóc' cho bạn.

Nhiều công ty cung cấp dịch vụ quảng cáo trực tuyến trả tiền cho mỗi lần cài đặt phần mềm của họ. Theo quy định, số tiền này không phải là nhiều – từ 30 xu đến 1,50 USD cho mỗi chương trình được cài đặt. Tuy nhiên, khi tội phạm mạng có sẵn botnet, anh ta có thể cài đặt bất kỳ phần mềm nào trên hàng nghìn máy tính chỉ bằng vài cú click chuột và kiếm được số tiền lớn. J. K. Shiefer, một tội phạm mạng nổi tiếng bị kết án năm 2007, đã 'kiếm' hơn 14.000 USD trong một tháng bằng cách sử dụng mạng botnet gồm hơn 250.000 máy để cài đặt phần mềm quảng cáo trên 10.000 máy tính.

Tội phạm mạng phát tán các chương trình độc hại thường sử dụng cách tiếp cận tương tự, trả tiền cho mỗi lần cài đặt phần mềm của chúng. Kiểu hợp tác này giữa tội phạm mạng được gọi là "mạng liên kết". Giá cài đặt phần mềm trên máy tính ở các quốc gia khác nhau có sự khác biệt đáng kể. Ví dụ: giá trung bình để cài đặt một chương trình độc hại trên một nghìn máy tính ở Trung Quốc là 3 USD và ở Mỹ là 120 USD. Điều này có ý nghĩa vì máy tính của người dùng ở các nước phát triển có thể cung cấp cho tội phạm mạng nhiều thông tin có giá trị hơn có thể được sử dụng để kiếm nhiều tiền hơn.

8. Nhấp chuột gian lận

Các đại lý quảng cáo trực tuyến sử dụng chương trình PPC (Trả tiền cho mỗi lần nhấp chuột) trả tiền cho những lần nhấp chuột duy nhất vào quảng cáo. Chủ sở hữu Botnet có thể kiếm được số tiền đáng kể bằng cách lừa dối các công ty đó.

Một ví dụ là mạng Google AdSense nổi tiếng. Các nhà quảng cáo trả tiền cho Google khi nhấp chuột vào quảng cáo của họ với hy vọng rằng người dùng truy cập trang web của họ theo cách này sẽ mua thứ gì đó từ họ.

Đến lượt mình, Google đặt quảng cáo dựa trên ngữ cảnh trên các trang web khác nhau tham gia chương trình AdSense, trả phần trăm từ mỗi lần nhấp chuột cho chủ sở hữu trang web. Thật không may, không phải tất cả chủ sở hữu trang web đều trung thực. Với mạng zombie, tin tặc có thể tạo ra hàng nghìn lần nhấp chuột duy nhất mỗi ngày – một lần từ mỗi máy để tránh làm Google nghi ngờ. Do đó, số tiền chi cho một chiến dịch quảng cáo sẽ lọt vào túi của hacker. Đáng buồn thay, cho đến nay chưa có ai bị kết án về loại gian lận này.

Theo Click Forensics, khoảng 16-17% tổng số lần nhấp vào liên kết quảng cáo trong năm 2008 là giả mạo, trong đó 1/3 là do botnet tạo ra. Một phép tính đơn giản sẽ cho thấy chủ sở hữu botnet đã kiếm được 33 triệu USD 'cho các cú nhấp chuột'. Không tệ cho những cú nhấp chuột đơn giản!

9. Cho thuê và bán botnet

Bây giờ dành cho những người sở hữu botnet bận rộn: đối với họ, công thức nổi tiếng thế giới của Marx, "hàng - tiền - hàng" được dịch thành "botnet – tiền – botnet". Giữ cho mạng botnet hoạt động, đảm bảo luồng zombie mới tràn vào ổn định, bảo vệ bot khỏi bị các sản phẩm chống vi-rút phát hiện và giữ cho C&C không bị định vị đòi hỏi tin tặc phải đầu tư cả về tài chính và thời gian, vì vậy đơn giản là hắn không còn thời gian để gửi thư rác, cài đặt phần mềm hoặc ăn cắp và bán thông tin. Việc cho thuê hoặc bán botnet sẽ dễ dàng hơn nhiều, đặc biệt là vì không thiếu những người mong muốn có được nó.

Việc thuê một mạng botnet thư có thể gửi khoảng 1000 tin nhắn một phút (với 100 máy zombie hoạt động trực tuyến) mang lại khoảng 2000 đô la mỗi tháng. Giống như trường hợp cho thuê, giá của một mạng botnet làm sẵn phụ thuộc vào số lượng máy tính bị nhiễm. Các botnet làm sẵn đặc biệt phổ biến trên các diễn đàn người dùng nói tiếng Anh. Các botnet nhỏ gồm vài trăm bot có giá 200-700 USD, với mức giá trung bình lên tới 0,50 USD mỗi bot. Các botnet lớn có giá cao hơn nhiều. Mạng botnet Shadow, được tạo ra bởi một hacker 19 tuổi đến từ Hà Lan và bao gồm hơn 100.000 máy tính, đã được rao bán với giá 36.000 USD. Số tiền này đủ để mua một căn nhà nhỏ ở Tây Ban Nha, nhưng tội phạm mạng người Brazil lại chọn mạng botnet.

Những khoản tiền đáng kinh ngạc sẽ lọt vào túi của những người kinh doanh mạng botnet. Tất cả các loại phương pháp đều được sử dụng để chống lại hoạt động kinh doanh này, nhưng ở cấp độ pháp lý, nó hoàn toàn không hiệu quả. Các luật về thư rác, phát triển và phân phối các chương trình độc hại hoặc xâm nhập vào mạng máy tính không được áp dụng ở nhiều quốc gia, ngay cả khi những luật đó tồn tại. Những chủ sở hữu hoặc nhà phát triển Botnet bị truy tố có thể đếm trên đầu ngón tay. Điều này không xảy ra với các botnet trực tiếp trên Internet: số lượng trong số này đã vượt quá 3600. Trên thực tế, việc đếm các botnet đang hoạt động không phải là một nhiệm vụ dễ dàng, bởi vì ngoài vài chục botnet lớn khó có thể bỏ sót còn có nhiều mạng lưới zombie nhỏ hơn không dễ phát hiện hoặc phân biệt.

Hiện nay, phương pháp chống botnet hiệu quả nhất là sự hợp tác chặt chẽ giữa các chuyên gia chống virus, ISP và cơ quan thực thi pháp luật. Sự hợp tác như vậy đã dẫn đến việc đóng cửa ba công ty: EstDomains, Atrivo và McColo. Lưu ý rằng việc đóng cửa McColo, nơi có các máy chủ đặt trung tâm chỉ huy và kiểm soát cho một số mạng botnet thư rác lớn, đã giúp giảm 50% lượng thư rác lưu hành trên Internet.

Các chuyên gia theo dõi hoạt động của hàng ngàn botnet và các sản phẩm chống vi-rút phát hiện và tiêu diệt bot trên toàn cầu, nhưng chỉ các cơ quan thực thi pháp luật mới có thể ngăn chặn các trung tâm chỉ huy và kiểm soát và bắt tội phạm mạng, từ đó 'tiêu diệt' các botnet trong thời gian dài. Việc đóng cửa McColo chỉ có tác dụng ngắn hạn: vài tuần sau lưu lượng thư rác bắt đầu quay trở lại mức bình thường. Sau khi chủ sở hữu botnet chuyển trung tâm chỉ huy và kiểm soát của họ sang các nhà cung cấp dịch vụ lưu trữ khác, hoạt động kinh doanh của họ trở lại như bình thường. Điều cần thiết là nỗ lực liên tục thay vì thỉnh thoảng kiểm tra. Đáng buồn thay, chặt một đầu của con Hydra vẫn chưa đủ!

Nếu không có sự trợ giúp từ người dùng, việc chống lại botnet không thể hiệu quả. Chính các máy tính gia đình chiếm phần lớn trong đội quân bot khổng lồ. Việc bỏ qua việc tuân thủ các quy tắc bảo mật đơn giản, chẳng hạn như sử dụng phần mềm chống vi-rút, sử dụng mật khẩu tài khoản mạnh và tắt tính năng Tự động phát cho phương tiện di động, có thể khiến máy tính của bạn trở thành thành viên botnet khác, cung cấp dữ liệu và tài nguyên của bạn cho tội phạm mạng. Tại sao phải giúp đỡ tội phạm mạng?