.com ist nach wie vor die TLD mit den meisten registrierten Botnet Controller Domain-Namen (14218), jedoch ist es .pw (Palau), die eine beunruhigend hohe Anzahl problematischer Domain-Namen (8.587) aufweist. Obwohl sie eine ccTLD ist, wird .pw als generische TLD beworben.
Registrierungszahlen für .pw sind nicht leicht zu finden, aber bereits 2013 gab die Registry bekannt, dass sie die Marke von 50.000 Registrierungen einen Monat nach Beginn ihrer Vermarktung als Option für das „professionelle Web“ überschritten hat. Zum Vergleich: .com hat heute rund 130 Millionen Registrierungen. In dem Bericht, so Spamhaus, habe man eine große Anzahl von Botnet Controller Domain-Namen gesehen, die in .com und .pw registriert wurden.
Die am dritthäufigsten missbrauchte TLD war .info mit 6 Millionen Registrierungen wovon 3.707 Domain-Namen, laut Spamhaus, am häufigsten von Cyberkriminellen für ihre Botnet-Operationen ausgewählt wurden. Die Vierte war .top, mit 3.546 Botnet Domain-Namen und 2,2 Millionen Registrierungen bis Ende 2017.
Es folgten .org (2.516 bei 10,3 Mio.) und .net (1.607 bei 15,0 Mio.), während die erste der ccTLDs Russlands .ru war, die mit 1.370 Botnet-Domains und 6,4 Millionen Registrierungen an sechster Stelle lag. Um einen (Botnet) Domain-Namen registrieren zu lassen, müssen Cyberkriminelle einen Sponsoring-Registrar finden. Für größere Registrare ist es einfach nicht möglich, sich über jeden registrierten Domain-Namen und dessen Verwendung im Klaren zu sein. Aber es gibt eine Reihe von meist kleineren Registraren auf der Liste und einige Registrare sind offensichtlich nicht allzu wachsam, wenn es darum geht, ob Kriminelle ihre Registrierungsdienste nutzen.
Ein Botnet-Controller, allgemein als „C&C“ von „command and control“ abgekürzt, erklärt Spamhaus, wird von Betrügern verwendet, um sowohl Malware-infizierte Rechner zu kontrollieren als auch persönliche und wertvolle Daten von Malware-infizierten Opfern zu erlangen. Botnet-Conroller spielen daher eine zentrale Rolle bei Operationen von Cyberkriminellen, die mit infizierten Computern Spam, Lösegeld, DDoS-Angriffe, Online Banking-Betrug, Click-Betrug oder Krypto-Währungen wie Bitcoin versenden. Ein infizierter Computer kann ein Desktop-Computer, ein mobiles Gerät (z.B. ein Smartphone), aber auch ein IoT-Gerät (Internet of Things) sein, z. B. eine Webcam oder NAS (Network Attached Storage), die mit dem Internet verbunden sind.
Mit Blick auf 2018 sagt Spamhaus, dass es keine Anzeichen dafür gibt, dass die Zahl der Cyber-Bedrohungen abnehmen wird, und dass die Zahl der Internet of Things (IoT)-Bedrohungen weiterhin stark zunehmen wird.
Spamhaus empfiehlt, dass aufgrund der Zunahme von Botnet-Controllern Netzeigentümer standardmäßig den Datenverkehr zu Anonymisierungsdiensten wie Tor blockieren und Benutzern, die auf Dienste zurückgreifen wollen oder müssen, die Möglichkeit zum „Opt-In“ bieten. Sie möchten auch, dass Registries und Registrare ihre Verantwortung ernst nehmen, indem sie geeignete Mechanismen einführen, um betrügerische Domain-Registrierungen zu verhindern.