Công ty bảo mật Damballa (Mỹ) đã phân tích 600 botnet họ phát hiện được trong các mạng doanh nghiệp trong thời gian 3 tháng, phát hiện thấy rằng hầu hết, 57%, có dưới 100 máy tính ma. Hầu hết các mạng nhỏ đều bị nhiễm botnet nhỏ, mạng các máy tính bị hacker kiểm soát bằng cách cho lẫy nhiễm mã độc. Đặc biệt, phân tích của côgn ty Damballa nhận thấy hầu hết mã độ dùng để hình thành botnet nhỏ được được hacker tạo ra bằng các công cụ tự tạo mã độc sẵn có trên mạng.

Theo Gunter Ollmann, phó chủ tịch công ty Damballa, khác với các botnet lớn, những mạng botnet nhỏ thường được tạo ra nhắm đến một số doanh nghiệp cụ thể, rất khó phát hiện. Vì vậy, nguy cơ từ các botnet này nhiều khi còn đáng sợ hơn là các botnet lớn gây sự chú ý.

“Các botnet nhỏ có khả năng tránh bị phát hiện rất hiệu quả bởi nó không gây sự chú của bộ phận bảo mật và những kẻ điều hành botnet hiểu rất rõ cơ cấu hoạt động của doanh nghiệp đó”, Gunter Ollmann nói. “Vì vậy, botnet nhỏ có thể là nguy cơ bảo mật gây thiệt hại lớn nhất với các mạng doanh nghiệp xét trong quá trình dài hạn”.

Trong phân tích trên, công ty Damballa phát hiện thấy một số botnet hoạt động giống như công việc của những người bên trong mạng đó thực hiện, do hacker sử dụng phần mềm gắn trong máy tính bị nhiễm để điều khiển như một công cụ quản trị từ xa. Trong một số trường hợp khác, những kẻ điều khiển mạng botnet lặng lẽ theo dõi hoạt động mạng công ty bị nhiễm đến khi chúng xác định được những nhân viên chủ chốt để tấn công lấy cắp dữ liệu.

Botnet đã trở thành công cụ chủ yếu của tội phạm mạng trong hoạt động kiếm tiền và ăn cắp dữ liệu trái phép của người dùng Internet. Các botnet lây nhiễm người dùng Internet phổ thông có xu hướng ngày càng tăng. Ví dụ, mạng máy tính ma do sâu Conficker tạo ra lúc đỉnh điểm lên tới 10 triệu máy.