¿Qué es una Botnet? ¿Cuál es su objetivo? ¿Se propaga también en Latinoamérica? ¿Cual son las más difundidas? ¿Cómo defenderse?
Aunque los zombis de Hollywood no son todavía una amenaza para la humanidad, existen otros tipos de zombis mucho más peligrosos para las compañías caminando entre nosotros. En los últimos años, una de las armas más eficaces utilizada por los ciberatacantes ha sido la “zombificación” de computadoras para crear botnets. Esto es tan cierto en Latinoamérica como en el resto del mundo. La amenaza de un “apocalipsis zombi” para las computadoras de nuestras empresas crece cada día, obligándonos a tomar las medidas necesarias para evitar la infección.
Se denomina como “zombi” a una computadora capturada por un hacker mediante un virus o troyano para ser controlada de forma remota sin el consentimiento de su dueño. Ya una botnet, denota a un grupo de computadoras infectadas y controladas por un atacante de forma remota. Su nombre proviene de la unión de dos palabras del inglés: “bot”, que significa robot, y “net”, que significa red. Decenas, centenas o miles de computadoras “zombificadas” controladas por el mismo cibercriminal constituyen una botnet.
Los atacantes posteriormente espían datos en las computadoras infectadas y las actividades realizadas por sus usuarios, con los siguientes objetivos:
• Robar credenciales
• Robar información confidencial y propiedad intelectual
• Enviar Virus y Spam para infectar nuevos dispositivos
• Realizar ataques de DoS (denegación de servicio), que consisten en dejar fuera de servicio a un servidor saturándolo de consultas.
Dorkbot: la botnet más difundida en Latinoamérica
Desde el 2011 hasta la actualidad, las botnets que se propagaron más en nuestra región han pertenecido a la familia Dorkbot, un código malicioso con 5 variantes conocidas que se propagó mayormente en México, Perú y Colombia; pero también con numerosos casos en Chile, Ecuador y Argentina.
Este código se propaga a través de las redes sociales y cuenta con ataques de phishing para robar información confidencial; su técnica de propagación reemplaza todos los archivos y las carpetas por accesos directos y, como también se transmite a través de dispositivos extraíbles, es muy difícil erradicarlo.
El malware está desarrollado en C++ y su objetivo es hacer ataques de denegación de servicio a servidores que funcionen bajo el protocolo de mensajería IRC.
VBS/Agent: Un nuevo entrante
La familia de malware que se está difundiendo más en Latinoamérica durante 2014 se llama VBS/Agent.NDH. Tomando en consideración los 11 países del mundo donde este código se ha propagado en mayor cantidad, 8 de esos países son latinoamericanos: México (14%), Perú (13%), Venezuela (8%), Ecuador (7%), Colombia (3%), Bolivia (3%), Argentina (2%) y Guatemala (2%). Esto significa que más de la mitad de los infectados en el mundo están en Latinoamérica (cerca de 60%).
Este malware es persistente en los sistemas, creando una entrada en el registro que hace que se ejecute cada vez que un dispositivo reinicia. Con características similares a la familia Dorkbot, este gusano infecta el sistema Windows y también tiene la capacidad de infectar los dispositivos USB. Llega a la computadora como un archivo descargado por otro malware o se descarga, sin el conocimiento del usuario, cuando se visita un sitio web malicioso con la finalidad de dar control de los dispositivos a sus autores y robar informaciones sensibles. Está desarrollado en VBScript y utiliza el protocolo HTTP.
Geografía regional, Dorkbot vs VBS
Tomando en consideración datos de la empresa ESET, Dorkbot sigue siendo el líder en países como Argentina, Chile y Uruguay con el 61% del total de computadoras infectadas contra el 18% de VBS. En Colombia, Venezuela y Ecuador, VBS supera a Dorkbot con 55% de los casos presentados, mientras que VBS afectó a 36% de los infectados. En México y en Centroamérica, Dorkbot gana a VBS con más del 50%, dejando su “adversario” en alrededor de 40% del total de infecciones. En toda Latinoamérica, el tercer puesto es ocupado por Win32/Autorun.IRCBot, con una media del 4% de las computadoras afectadas por un botnet en la región.
Si bien estas son las botnets más difundidas, conquistando alrededor de 90% del total de afectados, también existen muchas variedades que se están difundiendo cada día en Latinoamérica: SpyZBot, que roba códigos de banca en línea, Neurevt, que utiliza el correo electrónico como principal vector de ataque, y BlackEnergy, diseñado para detectar redes y ejecutar códigos remotos.
¿Cómo protegerse?
Reconocer si su computadora es un zombi haciendo parte de una botnet no es una tarea tan fácil como reconocer los zombis de las películas. En realidad, su computadora podría hacer parte de una botnet sin que usted se dé cuenta, y puede que algunos minutos atrás haya pasado un archivo por USB a su colega, trasmitiendo el malware y contagiando rápidamente otras computadoras, una característica presente en las dos botnets más comunes en Latinoamérica. Además, si no está seguro del estado de su computadora, ¿qué puede decir de la computadora de sus colegas? Es imposible controlar todas las computadoras de su empresa sin tener las herramientas correctas. Durante una infección, el factor clave es el tiempo. Cuando soluciona un incidente rápidamente, impide la propagación del malware y reduce el tiempo de inactividad de sus dispositivos durante su reparación. La pieza clave para ahorrar el tiempo durante una respuesta a incidentes, son las soluciones EnCase.
Las distintas soluciones de EnCase tienen un enfoque particular para la detección y la respuesta a incidentes. Utilizando la amplia experiencia forense de Guidance Software, EnCase ha creado herramientas destinadas a cualquier tipo de organización que permite obtener una visibilidad completa hacia los datos de los dispositivos hasta el nivel del bit. A diferencia de la mayor parte de las herramientas de seguridad perimetral, EnCase no está basado en firmas, sino que ofrece decenas de procesos de escaneo automatizados que son personalizables a cada entorno para analizar el comportamiento de los dispositivos y de los usuarios.
Mediante múltiples escaneos durante el tiempo, se puede crear una línea de referencia de la actividad cotidiana en su empresa, de forma que cualquier actividad inusual pueda ser notada con facilidad. Estos escaneos, al ser realizados en todos los dispositivos de la organización, nos permiten conseguir una perspectiva clara del alcance e impacto causado por una infección botnet, o por cualquier otro tipo de incidente de seguridad.
Con EnCase usted puede:
• Eliminar completamente malware y artefactos relacionados
• Exterminar procesos en ejecución
• Limpiar datos sensibles de localizaciones no autorizadas
• Producir reportes que demuestren éxito/cumplimiento
• Hacer Escaneos de Entropía para encontrar otras versiones del código maliciosos encontrado, como en caso de malware polimórfico
• Administrar por completo un incidente de ataque polimórfico
Lo importante es recordar que se necesita un método que permita reaccionar a estas amenazas con gran velocidad, antes de perder informaciones preciosas y antes de que el malware se propague por toda la compañía. Caso quiera profundizarse en este tema, hemos preparado un webinar gratis de 45 minutos en el cual hablamos exclusivamente sobre zombis y botnets. El webinar, titulado “Evite que Sus Dispositivos se Conviertan en Zombis”, está disponible ahora en nuestro sitio web y realmente les aconsejo verlo.
No hay comentarios:
Publicar un comentario