Aumenta la actividad de las redes de computadoras zombies

Las botnets son redes de computadoras zombies, equipos que se operan en forma remota por delincuentes para cometer todo tipo de ataques informáticos.

Según un ránking privado difundido esta semana, las botnets son el código malicioso con mayor presencia.

De acuerdo al informe de detecciones de agosto generado por la empresa ESET a través del servicio estadí­stico ThreatSense.Net, la tendencia más destacada durante agosto pasado es el constante crecimiento en las detecciones de troyanos del tipo bot.

Estos virus son los encargados de generar redes de equipos zombies, es decir, que cada equipo infectado es utilizado por el creador del código malicioso en forma remota para enviar correo basura ("spam") o cualquier tipo de amenaza informática. Los datos de ThreatSense.Net son enviados desde más de 10 millones de equipos únicos, que recolectan estadí­sticas sobre más de 20 mil distintos tipos y familias de códigos maliciosos activos durante el último mes.

Redes criminalesCristian Borghello, Technical & Educational Manager de Eset para Latinoamérica, explicó que se enví­an 100 billones de mensajes de correo al dí­a, y que el 80% (o más) del correo actual es considerado spam y el 80% (o más) del mismo es generado por los mismos usuarios que lo reciben.Un bot (palabra proveniente de robot) es un programa informático cuya función fundamental es realizar tareas, generalmente repetitivas y automáticas, simulando al ser humano.Son utilizados por aplicaciones y sistemas tan dispares como pueden ser los canales de chat, automatización de instalaciones, la enciclopedia virtual Wikipedia, juegos en lí­nea, programas de administración remota y otras aplicaciones. Dependiendo del contexto de uso, su nombre puede variar (bot, borg, crpg) pero el concepto de realización de tareas automáticas se mantiene.Origen de las botnetsBorghello recordó que cuando el negocio del spam y los problemas asociados, como la distribución de malware y phishing, lograron alcanzar niveles de rentabilidad suficiente para los cyberdelicuentes actuales, los mismos tení­an un problema importante entre manos."Los servidores vulnerables secuestrados hasta el momento y aquellos que se descubrí­an a diario, ya no eran suficientes para los objetivos de estas personas. El problema entonces, radicaba en lograr la distribución de más correos para llegar a más usuarios y así­ maximizar sus ganancias. La solución llegó de la mano del poder de cómputo distribuido", señaló.¿Cómo aprovechar el equipo del usuario para que él mismo "done" su sistema con fines delictivos? La solución es instalar un cliente en el equipo del usuario para que funcione de nexo con el malhechor.La forma de instalar estos programas clientes es crear troyanos/gusanos que infecten al usuario, haciendo que su equipo interactúe en la red que se forma y sin que el usuario se entere de lo sucedido. Así­, el equipo infectado se acaba de convertir en un zombi o robot haciendo cosas mecánicamente como si estuviera privado de voluntad, dijo el especialista.El conjunto de equipos (usuarios) infectados trabajando en red recibe el nombre de botnet.Aquí­, un gráfico disponible en la Wikipedia que explica en forma concisa el funcionamiento descrito:

1. El operador de la botnet manda virus/gusanos/etc a los usuarios.2. Las PCs entran en el IRC o se usa otro medio de comunicación.3. El spammer le compra acceso al operador de la Botnet.4. El spammer manda instrucciones ví­a un servidor de IRC u otro canal a las PC infectadas.5. Causando que éstos enví­en spam al los servidores de correo.FuncionamientoEl primer objetivo es distribuir el malware suficiente para lograr la mayor cantidad de equipos infectados con el troyano -cliente que conecta a los usuarios con el/los botmaster/s responsable/s de la botnet-.Esta distribución por supuesto se realiza mediante mensajes masivos por los cuales muchos usuarios son engañados. Tí­tulos como "la muerte de Fidel", "muertos en una tormenta que arrasa Europa", "Saddam Hussein vive" llaman la atención como para que miles de equipos sean infectados y comiencen a servir de base para nuevas olas de ataques.Una vez que la red ha sido convenientemente armada (con 10 o miles de equipos), el botmaster (responsable) puede decidir con total libertad, remotamente y en cualquier parte del mundo qué hacer con la misma pudiendo, por ejemplo:

• Enviar spam.
• Realizar ataques de denegación de servicio distribuido.
• Construir servidores para alojar software warez, cracks, seriales, etc.
• Construir servidores web para alojar material pornográfico y pedofí­lico.
• Construir servidores web para ataques de phishing.
• Redes privadas de intercambio de material ilegal.
• Sniffing de tráfico web para robo de datos confidenciales.
• Distribución e instalación de nuevo malware.
• Abuso de publicidad online como adsense.
• Manipulación de juegos online.

El control de la red, indica Borghello, puede llevarse a cabo de diversas maneras: puede controlarse la red totalmente o en forma segmentada por canales de IRC, depender de DNS gratuitos que aseguran su movimiento permanente, cifrar el canal para evitar su rastreo, identificación o intromisiones de otras personas ajenas a la red.La forma más común de llevar este paso es obtener el control de uno o varios servidores IRC para enviar las ordenes de los demás nodos de la red. Este servidor denominado Comando y Control (C&C) es el punto más débil de la red, ya que si el mismo es identificado puede darse de baja, aislando al botmaster de su red.Para solventar este problema, se han implementado redes P2P que permiten al botmaster cambiar de servidor a gusto, que el rastreo se dificulta e incluso, si la red es descubierta, la misma no podrá ser destruida en su totalidad por la alta redundancia de nodos. Estas redes aún se encuentran en un estadí­o de estudio y perfeccionamiento, por lo cual aún no son masivamente utilizadas, pero que sin duda marcan el futuro de las botnets.Alquilado de redesUna vez que la red está perfectamente construida y controlada, señaló el especialista, sólo basta alquilarla o venderla al mejor postor. La persona que adquiera el "servicio" podrá utilizar la red para las actividades que desee y que ya se enumeraron.A modo de ejemplo, un spammer podrá alquilar la red para enviar sus correos, una organización podrí­a realizar publicidad en forma masiva, una empresa podrí­a atacar a su competidor y sacar sus servicios web del aire, un pedófilo podrí­a distribuir su material anónimamente…Toda la red de delincuentes involucrados se beneficia de esta red:

• El creador de malware vende su "producto/servicio" al creador de la botnet.
• El botmaster alquila/vende la red.
• El spammer distribuye más correo con publicidad.
• Las empresas venden los productos publicitados.
• Cualquiera de ellos distribuye más malware infectando más equipos y retroalimentando el sistema

RankingSi bien la detección de los troyanos cuyo objetivo es la creación de botnets ocupa un amplio porcentaje del total, aparecen otros códigos maliciosos en el ranking de Eset:

• El Win32/Obfuscated, el malware que lidera el ranking con el 7,58 por ciento del total de detecciones.
• En la segunda posición aparece el Win32/Agent con el 3,40 por ciento de las detecciones. Este malware es un troyano utilizado para crear botnets que también puede presentarse, en algunos casos, con propiedades de backdoor y keylogger. La distribución de esta amenaza se desarrolla, principalmente, mediante mensajes de correo electrónico enviados masivamente, tales como el spam.
• En la tercera posición, y luego de encabezar el ranking durante un semestre, se ubica el Win32/TrojanDownloader.Ani.Gen con el 2,90 por ciento del total. Esta amenaza aprovecha una vulnerabilidad (ya corregida por Microsoft) en los archivos .ANI (aquellos que brindan la posibilidad de contar con cursores e í­conos animados en Windows) para descargar otros códigos maliciosos como troyanos, gusanos o ladrones de contraseñas.
• En el cuarto lugar y con el 2,33 por ciento de las detecciones, aparece el Win32/Agent.ARK, una variante de la familia Agent cuyo objetivo también es la creación de botnets, y se ha distribuido a través del Spam.
• El Win32/Adware.Virtumonde se mantiene en la quinta posición con el 2,20 por ciento del total de detecciones. Este malware es un adware utilizado para enviar propaganda de distintos productos a los usuarios infectados.
• En el sexto lugar se mantiene el Win32/Adware.Ezula con el 1,99 por ciento de las detecciones. Esta amenaza es un adware con capacidades de troyano, ya que descarga y ejecuta, sin el consentimiento del usuario, otros malware en el equipo infectado.
• El INF/Autorun desciende a la séptima posición con el 1,88 por ciento del total, el cual es una detección genérica de ESET NOD32 para entradas maliciosas en archivos Autorun.inf. Este tipo de archivos es utilizado para ejecutar y proponer acciones automáticamente cuando un medio externo como un CD, un DVD o un dispositivo USB, es leí­do por el equipo informático.
• En los últimos lugares se encuentran códigos maliciosos muy variados, como el Win32/RJump.A, el tradicional Win32/Agent.AB y el Win32/Pacex.Gen; sumando más del cinco por ciento del total.

PrevenciónLa gran diversidad de códigos maliciosos que aparecen este mes da cuenta de las múltiples variantes en las técnicas utilizadas por los creadores de malware. Si bien en agosto se mantiene la tendencia hacia la explotación y utilización de la ingenierí­a social como principal técnica de propagación, la presencia en el ranking de troyanos bot con tan altos niveles de detección, sreafirma una clara tendencia ya evidenciada hacia el uso de los recursos de equipos infectados trabajando en redes zombies para ampliar el número de infectados en pos de fines maliciosos y con el objetivo de estafar a los usuarios. Debido a esto, es de vital importancia que el usuario se capacite y utilice software antivirus y de seguridad con capacidades de protección proactiva.