Le botnet sono un problema con cui chi si occupa di sicurezza si scontra da anni. Sono create per scatenare attacchi mirati, come quelli DDoS. Ed è così che di solito una botnet - pensiamo al caso di Mirai - diventa famosa. Ma dopo? Finito l'attacco? Spesso le botnet, se non vengono eliminate dai "buoni", restano dormienti per un nuovo attacco. Magari su commissione. Già, perché creare, mantenere e gestire una botnet è una sorta di iniziativa imprenditoriale, anche se deviata. E quindi deve avere un suo profitto.

Grazie alle analisi di diversi ricercatori in campo sicurezza si può stimare il modello di business di una botnet. Ad esempio, si sa che per crearne una da zero bisogna operare seguendo alcuni passi. Il primo è definire che tipo di dispositivi si vogliono catturare e trasformare in bot. Server, computer singoli o device più semplici come i media player? La scelta dipende dal nostro obiettivo finale, ad esempio scatenare attacchi DDoS.

Secondo passo: scegliere gli strumenti di attacco più adatti per i bersagli che abbiamo definito. Scegliere cioè i malware che infetteranno i nodi da catturare. Poi creare una rete di server di comando e controllo che li piloteranno. E lanciare una campagna di infezione che attacchi i nodi potenziali per la nostra botnet e li conquisti.


Quanto costa questa fase preventiva e indispensabile? Costa soprattutto tempo, difficilmente "valorizzabile" ma comunque lungo. Una botnet articolata richiede mesi, una globale anche un anno o più. Tempi da APT, insomma. Gli strumenti invece hanno un prezzo stimabile, almeno in linea di principio. Un malware per infettare i potenziali nodi costa tra le decine e le migliaia di dollari a seconda della sua complessità. Ovviamente costa meno se è già pronto, costa di più se è sviluppato ad hoc.

I servizi (illeciti) che lanciano campagne di infezione costano da 2 a 10 centesimi di dollaro per nodo colpito. Costano meno se possono “riciclare” dispositivi che sono già nodi di altre botnet. Quindi che sono già sotto controllo e pronti per ricevere nuovo malware. Poi ci sono poi i costi di manutenzione della botnet. Essenzialmente la riconquista di nodi che vengono ripuliti dalle infezioni dei malware. Il costo stimato per una re-infezione è di circa 9 centesimi di dollaro per nodo.

Tirando le somme, il costo medio di una botnet è intorno agli 1,5-2 dollari per nodo. Non poco, perché una botnet contiene dalle decine alle centinaia di migliaia di nodi. Per recuperare questa spesa bisogna usare la botnet in modo redditizio.

A far guadagnare sono soprattutto le azioni di clickfraud legate alla pubblicità online. Agendo su larga scala si fanno anche milioni di dollari e in alcune nazioni non è nemmeno una pratica illegale. Redditizie, ma più rischiose, sono anche le frodi bancarie. Operazioni tecnicamente più semplici come le campagne di phishing o gli attacchi DDoS rendono meno: qualche decina di migliaia di dollari. Hanno maggior valore solo se estraggono segreti industriali (per il phishing) o generano volumi di traffico da record (per gli attacchi DDoS).