За большинством интернет-атак и мошеннических действий стоят вредоносные сети из совершенно обычных и иногда удивительных приборов: компьютеры, смартфоны, роутеры, а также умные пылесосы, чайники и розетки. Киберпреступники научились использовать любое устройство с выходом в интернет, превращать его в «зомби» и «бомбить» сайты, приложения и рекламу.
Рассказываем, из чего мошенники создают ботнеты, как поверить, не состоит ли ваш робот-пылесос во вредоносной сети, и как защитить устройство.
Ключевые моменты:
- Злоумышленники создают вредоносные сети из любых приборов, у которых есть доступ в интернет: ПК, телефоны, телевизоры, часы, розетки.
- 21 октября 2016 года хакеры атаковали серверы хостинговой компании Dyn. Сайты «встали» из-за умных камер, роутеров и даже тостеров.
- В 2021 году был осужден «король цифрового мошенничества» Александр Жуков — создатель ботнетов Methbot и 3ve.
- По данным StormWall, в 2025 году количество устройств российских пользователей, находящихся в ботнетах, составляет более 607 тысяч.
- Главная задача пользователей — соблюдение цифровой гигиены и проверка загружаемых файлов, задача бизнеса — обеспечение безопасности своей инфраструктуры и подключение дополнительных систем защиты.
ПК (компьютеры)
- Устройства: Настольные компьютеры и ноутбуки на Windows, macOS, Linux.
- Метод заражения: компьютерные программы с троянами и вирусами
- Самый крупный ботнет из ПК: Bredolab, 2009-2010 гг. (30 млн ПК)
ПК-ботнеты используются для массовой рассылки спама, DDoS-атак, загрузки и установки других вредоносных программ, например троянов, для кражи паролей, скликивания и просмотра рекламы.
Как происходит заражение компьютера
Чтобы заразить ПК и «заарканить» его в свою бот-сеть, киберпреступники используют следующие методы:
- распространение вредоносных писем с опасными вложениями,
- принудительную загрузку (drive-by) при посещении пользователем мошеннического сайта,
- взлом компьютеров и сайтов,
- перенаправление на зараженные сайты и др.
Примеры атак с использованием компьютерных ботнетов
— Bredolab
Самым крупным ботнетом на базе компьютеров за всю историю считается российская сеть Bredolab, действовавшая с 2009 по 2010 год. По разным оценкам, она состояла из 30 млн зараженных компьютеров по всему миру. По подсчетам экспертов, владельцы ботнета зарабатывали до $139,000 в месяц на аренде заражённых ПК. Заражал как пользовательские устройства, так и сайты.
— HTTPBot
Новый ботнет «умного» поколения, обнаруженный весной 2025 года, на базе трояна. Умеет высокоточно имитировать реальный трафик, для этого он изменяет HTTP-заголовки, подделывает куки, управляет сессиями, разбавляет трафик паузами. В мае этого года кибермошенники атаковали игровой и технологический секторы, проводя более 200 высокоточных DDoS-атак.
Другие примеры ботнетов: Methbot и 3ve, Emotet, Zeus, Storm
Интересные материалы по теме:
IoT (устройства интернета вещей, Internet of Things)
- Устройства: веб-камеры, роботы-пылесосы, чайники, розетки, лампочки, медоборудование, видеорегистраторы и т. д.
- Метод заражения: взлом
- Самый крупный ботнет из IoT: Mirai, 2016 г. (145 тыс. устройств)
Активность ботнетов на устройствах интернета вещей в 2025 году возросла на 500% благодаря заводским паролям, устаревшему программному обеспечению и ненадежным средствам защиты. Их атакуют даже хакеры-любители.
Как хакеры получают доступ к устройствам интернета вещей
Из-за слабой защиты, уязвимостей в прошивке, простых паролей на IoT-приборах, киберпреступники пользуются этими лазейками. К примеру, злоумышленники автоматически сканируют приборы и пытаются войти в систему с заводским паролем. Если пользователь его не менял, то они легко получают доступ к устройству.
IoT-ботнеты используются для:
- массовых DDoS-атак,
- криптомайнинга,
- распространения вредоносного ПО,
- сбора данных,
- кликфрода.
Примеры атак с использованием IoT-ботнетов
— Mirai
Самым крупным ботнетом из устройств IoT считается Mirai, обнаруженный в 2016 году. В его сеть входило 145 тысяч видеокамер, домашних роутеров, цифровых видеорегистраторов и других приборов с выходом в интернет.
— Ботнет из планшетов для рисования
В 2017 году эксперты по кибербезопасности обнаружили ботнет из умных планшетов для рисования, которые в дальнейшем использовались для DDoS-атак. Заражение произошло, когда владельцы одной дизайнерской компании подключили планшеты к корпоративной системе в обход IT-отдела и без проверки на безопасность.
Другие примеры ботнетов: Kaiten, Echobot
Интересные материалы по теме:
- Как ботнеты “похищают” умные устройства (IoT)
- Ботнет Ngioweb: прокси из пылесосов и вредоносный трафик через WordPress за $0.20
Браузеры
- Метод заражения: вредоносные расширения
Это совершенно новый и облегченный формат ботнетов, при котором используются зараженные браузеры пользователей. Показательный пример — коллекция из более чем 200 расширений для Chrome, которые превращают браузер пользователя в ботнет для скрейпинга.
Как происходит заражение браузера
Злоумышленники распространяют вредоносные расширения через официальные веб-магазины, а также сторонние и пиратские сайты, чтобы заразить браузер пользователя вредоносной программой.
Пользователи могут и не знать о том, что в их браузер вообще было что-то загружено или добавлено. Например, если он был заражен через iframe и принудительную загрузку при посещении пользователем определенных сайтов или через JavaScript-код.
Браузерные ботнеты используются для DDoS-атак, майнинга криптовалют, шпионажа, генерации поддельного трафика, скликивания и накрутки просмотров рекламы, кражи персональных и банковских данных, перенаправления трафика и др.
Примеры атак с использованием браузерных ботнетов
На конференции BLACK HAT (компания WhiteHat Security) демонстрировался потенциальный ботнет из миллионов браузеров, который без вредоносного ПО мог генерировать DDoS-атаки, используя стандартные возможности браузера и JavaScript.
Интересные материалы по теме:
- В Firefox обнаружены 8 вредоносных расширений, используемых для кражи трафика и фрода на партнерках
- Расширение AdNauseam: вредит рекламодателям или помогает пользователям?
- Browser hijacking: как вредоносные расширения крадут рекламу и покупателей
Смартфоны
- Устройства: смартфоны и планшеты на ОС Android и iOS
- Метод заражения: вредоносные приложения, фишинг, SMS-спам
- Самый крупный ботнет из мобильных устройств: RottenSys, 2018 г. (5 млн смартфонов)
Смартфоны и планшеты, особенно на операционной системе Android, часто становятся целью злоумышленников. Причина — 4,88 млрд человек во всем мире пользуются мобильным интернетом. Этого достаточно, чтобы создавать ботнеты на основе смартфонов и планшетов, атаковать сайты, скликивать рекламу, шпионить и майнить крипту.
Как хакеры создают сеть из зараженных смартфонов
Киберпреступники заражают смартфоны через:
- распространение опасных приложений в Google Play, App Store, сторонние и пиратские сайты,
- фишинговые рассылки в мессенджерах, особенно с какими-нибудь безобидными на первый взгляд открытками, зараженными вредоносном,
- SMS-спам,
- есть случаи заражения китайских «андроидов» прямо на заводе.
В дальнейшем устройство может использоваться для загрузки других программ и приложений, изменения настроек телефона, отображения навязчивой рекламы, генерации трафика и накрутки просмотров в фоновом режиме, краже данных и др.
Примеры атак с использованием мобильных ботнетов
— RottenSys
Самым крупным ботнетом из смартфонов считается китайская сеть RottenSys, обнаруженная весной 2018 года. Он состоял из 5 млн зараженных Android-устройств.
Изначально RottenSys использовался для показа навязчивой рекламы, но затем был обнаружен новый модуль на языке Lua, который позволял объединять эти гаджеты в гигантскую бот-сеть.
— Necro
В августе 2024 года в Google Play были обнаружены два мобильных приложения с трояном Necro внутри. Этот многоуровневый загрузчик после попадания на устройство пользователя запускал рекламу в фоновом режиме, скликивал её и генерировал трафик. Жертвами трояна стали пользователи из России, Бразилии, Вьетнама, Эквадора и Мексики.
Другие примеры ботнетов: Anubis, Joker, Peachpit
Интересные материалы по теме:
- IconAds: мошенники заразили 352 Android-приложения рекламным ПО
- Apple заблокировала 2 млн заявок на публикацию приложений и $9 млрд мошеннических транзакций
- Осторожно! Мошенническое приложение: как паблишеры зарабатывают на рекламодателях
CTV
- Устройства: ТВ-приставки (медиаплееры) и CTV-телевизоры
- Заражение: взлом, уязвимости, вредоносные приложения
- Самый крупный CTV-ботнет: Vo1d, 2025 (21 млн телевизоров и приставок)
Смарт-телевизоры, медиаплееры и ТВ-приставки с интернет-подключением могут стать целью киберпреступников. В первую очередь они заинтересованы в накрутке просмотров рекламы и искусственном завышении прибыли в свою пользу.
Как хакеры взламывают телевизоры с выходом в интернет
Основными источниками заражения считаются уязвимости в программном обеспечении, загрузка вредоносных приложений, использование слабых и заводских паролей.
Хакеры используют зараженные приставки и телевизоры для DDoS-атак, майнинга криптовалют, прослушки и сбора данных, накрутки просмотров рекламы.
Примеры атак CTV-ботнетов
— Vo1d
Самым крупным ботнетом из CTV-устройств считается Vo1d, обнаруженный в 2025 году. На момент обнаружения в арсенале злоумышленников находилось почти 1,6 миллиона заражённых телевизоров на Android TV в 200+ странах и регионах по всему миру. По сообщениям специалистов по кибербезопасности, ботнет используется для проведения DDoS- и других кибератак.
— Bigpanzi
Другим примером сети из зараженных умных телевизоров считается ботнет Bigpanzi, действующий с 2015 года. На пике активности он использовал 170 тыс. активных устройств. Злоумышленники использовали сеть для для нелегального стриминга, проксирования трафика и DDoS-атак.
Другие примеры ботнетов: BadBox, Pareto
Интересные материалы по теме:
Сетевые устройства
- Устройства: роутеры, серверы и прочее сетевое оборудование
- Заражение: эксплуатация уязвимостей в прошивке, взлом
- Самый крупный ботнет из сетевых устройств: Mēris, 2021 г. (~300 тыс.)
Сетевые устройства обладают минимальной операционной системой. Это позволяет заражать их вредоносным ПО и объединять в сеть. Роутеры и серверы особенно важны как узлы ботнета, поскольку они дают злоумышленникам доступ не только к мощностям, но и к внутренней сети для распространения вредоносного ПО.
Как происходит заражение
Кибермошенники используют брутфорс-атаки для взлома доступа к роутерам, вводят заводские пароли и компрометируют через уязвимости прошивки.
Чтобы создать вредоносный ботнет из сетевых устройств, иногда злоумышленникам и вовсе не приходится их взламывать — они сразу «на заводе» могут устанавливать вредоносное ПО на ТВ-приставки и отправлять их в Европу. Как это было с Badbox (ссылка выше).
Хакеры используют зараженные сетевые устройства для DDoS-атак, создания прокси и сокрытия трафика. В дальнейшем они могут сдавать в аренду прокси-сервера другим мошенникам, чтобы те могли скрыть вредоносную активность в сети.
Примеры атак сетевых ботнетов
— Mēris
Самым крупным сетевым ботнетом считается Mēris («чума»), обнаруженный в 2021 году. Состоял преимущественно из заражённых маршрутизаторов и сетевого оборудования латвийской компании MikroTik. Для заражения хакеры эксплуатировали уязвимость в их операционной системе RouterOS. Насчитывал 200 – 250 тыс. устройств.
Ботнет преимущественно использовался для мощных DDoS-атак на крупные интернет-сервисы и компании по всему миру. Самая известная — 5 сентября 2021 года на серверы «Яндекса». Она вошла в историю как одна из крупнейших DDoS-атак в рекордные 21,8 миллиона запросов в секунду.
Интересные материалы по теме:
Признаки, что устройство заражено и находится в составе ботнета
Хакеры взламывают устройства, перебирают пароли, распространяют вредоносное ПО. Пользователь не всегда может сориентироваться в качестве источника, откуда он загружает то или иное приложение или программу.
Хакерские атаки с использованием ваших устройств не проходят бесследно. О том, что роутер, телефон или ТВ-приставка находятся в составе ботнета, могут сигнализировать следующие признаки:
- Замедление работы. Оно начинает работать медленнее, приложения открываются с задержками, система «тормозит».
- Быстро садится заряд батареи (у смартфонов). Из-за постоянной фоновой активности и передачи данных аккумулятор разряжается быстрее обычного. Например, один из мобильных ботнетов так и назывался — DrainerBot.
- Подозрительные фоновые процессы и программы. Возможно, вы могли обнаружить, что на устройство были загружены неизвестные приложения, расширения или программы, которые вы не устанавливали. В диспетчере задач появились новые процессы, которые активно используют ресурсы CPU и RAM.
- Необычно высокий сетевой трафик. Устройство без явной причины отправляет большие объёмы данных на неизвестные IP-адреса, часто за границу, или устанавливает частые соединения с удалёнными серверами.
- Странное поведение системы. Устройство начало само включаться или выключаться, происходят сбои приложений, возникают ошибки при работе с файлами и настройками, появляются всплывающие окна с рекламой или спам.
- В браузере автоматически открываются вкладки со сторонними сайтами.
- Проблемы с интернет-соединением. Вы заметили, что интернет стал медленнее работать, интенсивная работа роутера при отсутствии активных загрузок.
- IoT-устройства работают нестабильно. Камеры видеонаблюдения, датчики и другие «умные» приборы перестают корректно выполнять свои функции.
- Антивирус отключается или не обновляется. Некоторые виды вредоносного ПО, например руткиты, способны блокировать защиту и обновления безопасности.
- Рассылка спама или подозрительная активность в аккаунтах. С вашего устройства или почты рассылаются нежелательные сообщения без вашего ведома.
- Необычные подключения и открытые порты — частые подключения к нестандартным портам, изменение сетевых настроек, подмена DNS.
Заметить наличие вредоноса — полдела. Главное его удалить.
Как вывести своё устройство из ботнета
Чтобы вывести устройство из вредоносной сети, выполните следующие шаги:
- Самое главное — отключите его от интернета. Так вы сможете разорвать связь с хакерским сервером. Это остановит выполнение вредоносных команд.
- Просканируйте антивирусом. Используйте для этого только проверенные программы, загруженные с официальных сайтов. Например, ESET, Kaspersky. Далее следуйте рекомендациям и подсказкам.
- Проверьте автозагрузку и запущенные процессы в диспетчере задач. Возможно, вы найдете и сможете удалить подозрительные или неизвестные программы, которые могут поддерживать связь с ботнетом.
- Обновите операционную систему и прочее ПО, используемое на устройстве. Разработчики программ и систем регулярно «закрывают» обнаруженные уязвимости. Так ваше устройство будет под защитой от новых угроз.
- Измените пароли везде. Если вы изменяете данные для доступа к устройству, делайте это сразу после устранения угрозы. Если меняете авторизацию в сервисы и облачные платформы, делайте это на «чистом» устройстве.
- Переустановите операционную систему, если простого обновления или антивирусной «чистки» недостаточно.
- Настройте брандмауэр и ограничьте удалённый доступ. Это поможет предотвратить повторное заражение и будет блокировать весь подозрительный трафик.
- Проверьте и очистите конфигурацию сетевого оборудования (особенно если заражён роутер, например MikroTik). Удалите вредоносные скрипты, отключите ненужные сервисы и обновите прошивку.
Но главная ваша задача — предупредить заражение.
Как избежать заражения:
- Соблюдайте цифровую гигиену: не загружайте программы и приложения из неизвестных источников.
- Подключите ко всем устройствам антивирус и другие программы, которые будут защищать от основных киберугроз.
- Подключите к единой антивирусной защите IoT-устройства и умные телевизоры.
- Не скачивайте вложения от неизвестных отправителей — в мессенджерах и Email.
- Регулярно обновляйте прошивку, ОС и версию приложений.
- Всегда заменяйте заводские пароли на свои. Чем сложнее пароль, тем лучше.
Что делать, если боты скликивают рекламу
Мобильные ботнеты, автокликеры на ПК, вредоносные расширения могут скликивать рекламу и расходовать бюджеты рекламодателей. Защитите рекламу от ботов — подключите систему антифрода.
Подписывайтесь на наш ТГ-канал: рассказываем о реальных кейсах, тактиках и технологиях мошенников, факты о кликфроде и не только. Без спама и с пятничными мемами.
