Volgens beveiligingsbedrijf Damballa, dat een lijvig rapport over het huidige en toekomstige gebruik van botnets heeft geschreven, wordt het steeds moeilijker voor opsporingsdiensten om botnets uit te schakelen. Tot op heden was het gebruikelijk dat computers werden geïnfecteerd met een bepaalde malware (Crimeware in de taal van Damballa), maar in toenemende mate wordt er nu meerdere malware in een keer geïnstalleerd.

Meerdere malware op computer

Er is tevens een trend gaande dat geïnstalleerde malware slechts één keer wordt gebruikt, waarna het zichzelf vernietigt. Dit om ontmaskering van de criminele organisatie te bemoeilijken. Omdat organisaties botnetbezitters (botnetherders) betalen per installatie, kiezen de criminelen voor samenwerking, zodat meerdere malware per installatie op de computer belandt, wat weer een kostenbesparing oplevert.

Verder ziet Damballa dat de infrastructuur van de criminelen steeds meer bestand raakt tegen de pogingen van botnetbestrijders om die neer te halen. De Command & Control (C&C) servers worden breder en meer verspreid ingezet. Als er eentje wordt ontdekt en buiten gebruik wordt gesteld, neemt een andere C&C-server soms zelfs vanuit een ander werelddeel het botnet over. Daarnaast huren criminelen botnets die ze dan aansturen met eigen C&C-servers en na gebruik ook weer loslaten.

Domeinblokkades omzeild

Technologie om domeinblokkades op te werpen, wordt in toenemende mate omzeild, net als blacklists. Dat gebeurt via het gebruik van de Domain Generation Algorithm (DGA)-technologie, waarmee het mogelijk is om te doen alsof je van een onverdacht domein komt. Andere technologie die wordt gebruikt is die van “machine locking”, waarmee malware alleen functioneert op de doelcomputer en dus niet kan worden getriggerd door in de cloud functionerende analysetechnologie.

Sommige criminelen die meerdere malware (laten) installeren, kiezen er zelfs voor om na gebruik sporen achter de laten, waardoor na ontdekking en schoonmaak de eigenaar van de computer en de opsporingsdiensten denken het gevaar te hebben geëlimineerd. Daarna kan de overige malware worden ingeschakeld en gebruikt.