Botnet.

Uma botnet é um conjunto de endpoints comprometidos — PCs, servidores, routers, dispositivos IoT — que se ligam a um ou mais servidores de comando e controlo (C2) e executam ordens do operador da botnet (o "botmaster"). As botnets são usadas para ataques DDoS, spam, credential stuffing, fraude de cliques, mineração de criptomoedas, distribuição de malware e como redes proxy para outras intrusões. Podem usar C2 centralizado, peer-to-peer ou DNS fast-flux para resistir a desmantelamentos.

A escala é a característica que as define. A botnet Mirai (2016) recrutou centenas de milhares de câmaras e routers IoT usando uma lista de credenciais predefinidas e direcionou depois cerca de 1 Tbps de tráfego contra o fornecedor de DNS Dyn, deixando o Twitter, o Reddit e o Spotify offline. A botnet de proxies residenciais "911 S5" — desmantelada pelo FBI e parceiros internacionais em maio de 2024 com a detenção do administrador YunHe Wang — tinha infetado quase 19 milhões de endereços IP em cerca de 200 países, alugando os dispositivos das vítimas a fraudadores e causando perdas de milhares de milhões. Botnets bancárias como o Emotet e o Qakbot foram igualmente desmanteladas através de operações coordenadas de sinkholing por parte das autoridades.

flowchart TD
  M[Infecao por malware<br/>credenciais predefinidas / exploit / phishing] --> B1[Bot 1]
  M --> B2[Bot 2]
  M --> B3[Bot N]
  B1 --> C[Servidor C2 / P2P / fast-flux]
  B2 --> C
  B3 --> C
  C --> O[Botmaster emite comandos]
  O --> A[DDoS / spam / proxy / mineracao]

As defesas incluem higiene dos endpoints, atualização de firmware IoT, bloqueio de C2 conhecidos, sinkholing, filtragem de saída, deteção de anomalias de rede e desmantelamentos liderados pelas autoridades.