Los 12 peores botnets

El ataque de los botnets

En los últimos 10 años se han hecho famosos unos “programillas” de malware, de tipo troyano, conocidos como botnets, por su alto grado de propagación y por ser muy perjudiciales.

Han atacado usuarios individuales, empresas o incluso países enteros. Unos causaban las molestias e inconvenientes propios del correo basura, por que se se dedicaban a lanzar cantidades ingentes de mensajes desde los equipos de los usuarios infectados.

Otros no han sido tan considerados y han sido uno de los vehículos preferidos por los ciberdelincuentes para realizar sus extorsiones cifrando los datos de sus víctimas en ataques conocidos como Cryptolocker.

Otros han husmeado silenciosamente credenciales de bancos y tarjetas de crédito para robar fondos e identidades de despreocupados usuarios.

Si bien, han sido innumerables los botnets que han circulado por La Nube, la inmensa mayoría tan sólo han sido variaciones de unos pocos que han creado escuela entre la comunidad de malvados programadores. De estos modelos de botnets, algunos han destacado tanto por los daños que podían provocar como por el número de sistemas comprometidos.

La mayoría de este malware está actualmente “desarticulado”, los antivirus los conocen bien y los bloquean con facilidad, y sólo podrían volverse a convertir en una amenaza si se hicieran modificaciones en su código original. Pero otros todavía están activos y podrían causar mucho daño.

¿Qué es un botnet?

Es un conjunto de programas informáticos instalados en diferentes ordenadores que colaboran para la ejecución de tareas orientadas a la consecución de un ataque informático.

Los 12 peores botnets de la última década:

1. RUSTOCK

Año de descubrimiento: 2006
Origen: Posiblemente en Rusia
Número estimado de máquinas infectadas: Entre 150,000 y 2,400,000.
Tipo de Botnet: Spammer
Estado actual: Desarticulado por la Ley de EEUU en cooperación con Microsoft, FireEye, y la Universidad de Washington.

Rustock se propagó como un troyano, infectando documentos descargados desde Internet o como adjunto de emails. Las máquinas infectadas enviaban más de 20.000 mensajes basura por hora cuando estaba activo.

2. STORM

Año de descubrimiento: 2007
Origen: Desconocido, se sospecha que cyber-criminales rusos ya que se encontraron palabras rusas en el código fuente.
Número estimado de máquinas infectadas: Entre 1,000,000 y 50,000,000.
Tipo de Botnet: Múltiples ataques, incluyendo accesos secretos, retrasmisiones SMTP, recolección de direcciones email, spam y DDoS.
Estado actual: Prácticamente desarticulado.
Storm fue el botnet más grande y con mayor propagación hasta la fecha. Tenía el valor añadido de estar disponible para la venta o alquiler de otros, particularmente por su capacidad de DDoS. La ingeniería social y el spam ayudaron a su propagación, pero sus atacantes también lo lanzaron a través de las descargas en los sitios web populares que se vieron comprometidos, haciendo de las descargas un importante factor de la infección.

3.Cutwail

Año de descubrimiento: 2007
Origen: Posiblemente Ruso, basado en las encarnaciones actuales que ofrecen los miembros de la resistencia Rusa.
Número estimado de máquinas infectadas: Entre 1,500,000 y 2,000,000.
Tipo de Botnet: Spammer y DDoS
Estado actual: Activo.

En su apogeo, Cutwail fue responsable de casi la mitad de todo el spam en Internet, enviando 74 billones de mensajes spam por día. Hoy en día, sigue activo y disponible para alquilar.

4. Grum

Año de descubrimiento: 2008
Origen: Desconocido
Número estimado de máquinas infectadas: Entre 560,000 y 840,000.
Tipo de Botnet: Spammer, principalmente de los correos electrónicos farmacéuticas.
Estado actual: Desarticulado gracias a varios sistemas de comando y control en los Paises Bajos, Panamá, Rusia y Ucrania.

5.Coficker

Año de descubrimiento: 2008
Origen: Puede ser Alemán, por su nombre, o Ucraniano, por su servidor primario.
Número estimado de máquinas infectadas: Entre 9,000,000 y 15,000,000.
Tipo de Botnet: DoS y spammer
Estado actual: Prácticamente desarticulado pero siguen existiendo máquinas infectadas.

Conficker es el único que se descarga actualizaciones por sí solo, utilizando los binarios firmados y encriptados para ayudar a evitar cualquier acción de desinfección. Una vez que la versión E está activa, se descarga e instala Waledac para enviar spam.

SpyProtect 2009 es una variación con la que tratar de convencer a las potenciales víctimas para comprar un falso programa antivirus cuando en realidad lo que hace es iniciar una serie ataques DoS a la red local a través inundaciones ARP, bloqueos de cuentas, deshabilitando actualizaciones automáticas y actualizaciones de antivirus y otras acciones más.

6.Kraken

Año de descubrimiento: 2008
Origen: Desconocido
Número estimado de máquinas infectadas: Más de 495,000.
Tipo de Botnet: Spammer
Estado actual: Actualmente desactivado pero resurgió posteriormente y puede que lo haga de nuevo. Kraken tiene un interés particular ya que muestra técnicas de evasión de anti-malware y capacidades de auto-actualización.

Se estimó que infectó a más del 10% del ranking Fortune 500, la lista anual de las 500 empresas con más ganancias de EEUU.

Para prevenir este malware, es indispensable tener un software antivirus instalado en todos los dispositivos, que se produzca efectivamente el tratamiento de todos los mensajes del correo electrónico, que haya medios para el filtrando de todos los accesos a Internet en la salida del firewall. También son importantes los sistemas de detección de intrusos con las que detectar las máquinas infectadas. Las limitaciones en los derechos administrativos sobre sus equipos por parte de los usuarios, el análisis regular de vulnerabilidades y la gestión de parches son una necesidad evidente para hacer de la red un sitio seguro. En Danysoft, te recomendamos GFI MailEssentials para lograr proteger tu equipo correctamente. Además, puedes probarlo durante 30 días totalmente gratis solicitándonos una demo aquí.

7. Mariposa

Año de descubrimiento: 2008
Origen: España
Número estimado de máquinas infectadas: Entre 1,000,000 y 12,000,000.
Tipo de Botnet: Cyber-estafa y DDoS.
Estado actual: Desarticulada gracias a los esfuerzos de la fuerzas de seguridad españolas, Defense Intelligence, Georgia Tech y Panda Security.
Mariposa es un keylogger, software que monitoriza y graba en un registro la actividad de teclado del usuario para capturar credenciales en sitios bancarios, credenciales con la que realizar envio masivos de spam y tomar el control del equipo para su utilización en ataques DDoS. La red Mariposa estaba disponible para alquilar.

8. Waledac

Año de descubrimiento: 2008
Origen: Desconocido
Número estimado de máquinas infectadas: Entorno a 1,000,000.
Tipo de Botnet: Spammer, con robo de contraseñas, denegación de servicios, y proxy de red.
Estado actual: Desarticulado por las agencias de seguridad de EEUU y Microsoft en 2010. Waledac se propagaba como un gusano informático y se utilizaba tanto como botnet en comunicaciones peer-to-peer para controlar los ordenadores de los usuarios.

En el momento de la desarticulación, se estima que entre 70.000 y 90.000 máquinas estaban infectadas con este botnet, pero se estima que hasta un millón fueron infectadas en algún momento durante el período activo de este troyano.

9. Kelihos

Año de descubrimiento: 2010
Origen: Rusia
Número estimado de máquinas infectadas: Hasta 150,000 sistemas.
Tipo de Botnet: Spammer y DDoS, con la última versión disponible para extraer y robar bitcoins.

Estado actual: Desarticulado, gracias a los esfuerzos de Microsoft y agencias de seguridad de EEUU. Kelihos incluía funciones de control peer-to-peer tanto en la consola de comando central como en los elementos de control y podía propagarse a través de links a documentos y a través de la red social de Facebook.

10. ZeroAccess

Año de descubrimiento: 2011
Origen: Desconocido
Número estimado de máquinas infectadas: 9,000,000.
Tipo de Botnet: Extracción de bitcoins y ciberestafa.
Estado actual: Desarticulado, pero con posibilidades de reactivarse. Microsoft y las autoridades Norteamericanas intentaron acabar con ZeroAccess apoderandose de las consolas de mando y control, pero se perdió una parte y estos elementos peer-to-peer podrían lanzar nuevos ataques en el futuro.

ZeroAccess puede comprometer un sistema infectando tanto el MBR del disco duro como drivers críticos y es capaz de deshabilitar tanto el firewall de Windows como software de antivirus.

11. Metulji

Año de descubrimiento: 2011
Origen: Bosnia y Eslovenia
Número estimado de máquinas infectadas: 12,000,000.
Tipo de Botnet: Ciberestafa y DDoS.
Estado actual: Desarticulado gracias a la colaboración del FBI y de la Interpol.

El aspecto de Metulji estaba influido por los de otros botnets, se ofreció como un kit a otros delincuentes y, de hecho incorporaba concesiones de licencias en sus opciones de reventa. Además de participar en ataques DDoS, registraba las credenciales a los sitios bancarios, siguiendo las entradas del teclado de las víctimas.

12. Gameover Zeus

Año de descubrimiento: 2012
Origen: Rusia
Número estimado de máquinas infectadas: 500,000 a 1,000,000.
Tipo de Botnet: Ciberestafa y extorsión a través de la propagación del malware Cryplocker.
Estado actual: Desarticulado, gracias a las agencias policiales y organizaciones líderes del sector tecnológico incluyendo Microsoft, Symantec Y McAffee.

Gameover Zeus usó comunicaciones para establecer una red de zombis con comando central y control de redes y, con filosofía  peer-to-peer para hacerlo mucho más resistente y difícil de desarticular.

Este botnet nos enseñó una lección muy importante: que una defensa por capas en las redes corporativas es crítica.

GUÍA 10 PASOS PARA OPTIMIZAR TU PROTECCIÓN EMAIL

Además de todo esto, no hay que olvidar que la formación del usuario final es fundamental. Identificar enlaces o sitios sospechosos para evitarlos y saber qué tiene que hacer si sospecha que está infectado, ayudan mucho a paliar el riesgo que representa este tipo de malware. En casa, que no falte un programa de antivirus, utilizar un servicio de correo electrónico personal de confianza y mantener una mentalidad de “pensar antes de hacer clic” es el mejor seguro que se puede tener para estar a salvo.

Por todo ello y para que te asegures de tu nivel de protección, te brindamos la oportunidad de descubrir en esta guía 10 pasos para optimizar tu protección email. Una guía donde podrás descubrir nuevas ideas, tendencias, consejos y herramientas para que tú y tu red estéis protegidos del malware que ataca vía mail en todo momento.

Descargar guía 10 pasos para optimizar tu protección email

0 comentarios

Dejar un comentario

¿Quieres unirte a la conversación?
Siéntete libre de contribuir

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Utilizamos cookies propias y de terceros para mejorar nuestros servicios. Al utilizar el Sitio, usted acepta el uso de cookies. más información

The cookie settings on this website are set to "allow cookies" to give you the best browsing experience possible. If you continue to use this website without changing your cookie settings or you click "Accept" below then you are consenting to this.

Close