I cybercriminali creano e mantengono botnet anche molto estese per trarne un profitto economico, usandole come "base di lancio" per attacchi di massa anche contro singole aziende o provider di telecomunicazioni. E non serve neanche creare botnet installando malware nei classici PC: ci sono dispositivi molto meno protetti che, operando su larga scala, rappresentano una minaccia importante. In questo senso il caso più noto è quello di Mirai, la botnet costituita da centinaia di migliaia di dispositivi Linux molto semplici, come webcam e media player.

Per essere efficace, come appunto Mirai, una botnet deve raccogliere un numero molto elevato di device o computer. Creare e gestire botnet del genere è quindi un compito complesso. Ormai sappiamo molto bene cosa devono fare gli hacker ostili per assemblare una botnet, ma ne sappiamo meno del modello di business che devono seguire perché una botnet sia redditizia. Qualche calcolo però si può fare, in base alle stime di diversi ricercatori in campo sicurezza.

Partiamo dal caso peggiore: vogliamo assemblare una botnet da zero, senza cercare qualche altro criminale che abbia già creato una sua botnet e sia disposto, ovviamente a pagamento, ad affittarcela per i nostri scopi. Abbiamo davanti una prima fase "strategica" piuttosto impegnativa. Primo passo: partendo dal nostro obiettivo finale (ad esempio, scatenare attacchi DDoS) dobbiamo decidere quali tipi di dispositivi cercare di inserire nella nostra botnet. Come abbiamo visto nel caso di Mirai, non necessariamente attaccheremo solo PC. Dobbiamo quindi scandagliare la rete con strumenti più o meno leciti, da Shodan in poi, per individuare i possibili bersagli.

Definiti i bersagli da colpire, servono gli strumenti per farlo. In pratica, uno o più malware che infettino i nodi da colpire e una rete più o meno articolata di server di comando e controllo che piloteranno i device infettati. Poi serve lanciare una campagna di infezione che attacchi i nodi potenziali per la nostra botnet e li "conquisti".


Quanto ci costa tutto questo? In realtà a "pesare" è soprattutto il tempo dedicato alla fase di analisi del problema-botnet e alla ricerca dei nodi da colpire. Se vogliamo creare una botnet molto estesa ci metteremo diversi mesi, anche un anno e mezzo o due se vogliamo creare e mantenere una grande botnet estesa a livello mondiale. Anche per questo, le grandi botnet sono quasi sempre un business da APT.

La parte tecnica è meno complessa. Il malware per infettare i potenziali nodi della botnet lo acquistiamo in qualche forum del dark web e il suo costo varierà tra le decine e le migliaia di dollari a seconda della sua complessità - la quale dipende dal tipo di nodi che vogliamo colpire - e dal fatto che il malware sia già esistente o vada sviluppato ad hoc per noi.

Per lanciare la nostra campagna di infezione usiamo uno dei tanti servizi (illeciti, ovviamente) del dark web che fanno appunto questo. Ci costa 2-10 centesimi di dollaro per nodo colpito. Pagheremo poco se il servizio può “riciclare” dispositivi che sono già nodi di una botnet creata in precedenza. Essendo già sotto controllo, questi nodi sono identificati e vi si può scaricare nuovo malware senza difficoltà.

Ci sono poi i costi di manutenzione della botnet, una volta che essa è stata creata. I nodi che vengono ripuliti dalle infezioni vanno "conquistati" nuovamente, operazione che può rivelarsi complessa se è necessario modificare il malware di partenza perché nel frattempo è stato identificato dai sistemi di sicurezza. Il costo stimato per una re-infezione è di circa 9 centesimi di dollaro per nodo.


Tirando le somme, i ricercatori stimano che il costo medio "chiavi in mano" di una botnet si aggiri intorno agli 1,5-2 dollari per nodo. Non è poco per le botnet su larga scala, che arrivano facilmente a centinaia di migliaia di nodi. Bisogna quindi recuperare l'investimento, possibilmente in fretta.

Ci sono quattro modelli di business principali per una botnet: scatenare attacchi DDoS su commissione, avviare campagne di spam, effettuare frodi bancarie e far partire azioni di clickfraud legate alla pubblicità online. Se vogliamo andare sul sicuro, puntiamo proprio sul clickfraud. Può rendere bene (nell'ordine dei milioni di dollari) per chi ha botnet molto numerose e - cosa che non guasta - non è nemmeno illegale in tutte le nazioni. E in quelle che lo puniscono, spesso non è una frode considerata grave.

Danno buoni introiti anche le frodi bancarie, che però sono più rischiose. Si fanno invece meno soldi (qualche centinaio di migliaia di dollari) usando le botnet come base per campagne di phishing in sé, ma potrebbe essere molto più interessante ciò che si ottiene da un phishing ben riuscito, come ad esempio segreti industriali. Sempre secondo i ricercatori, i tanto pubblicizzati attacchi DDoS ormai portano in tasca al massimo qualche decina di migliaia di dollari. Realizzarli è diventato troppo semplice e hanno valore solo quelli che attaccano in maniera mirata con volumi di traffico da record.