Continuamos con esta serie sobre el poder de las botnets (y II), en donde nos proponemos mostrarles, a través de noticias e incidentes que se han hecho públicos, las dimensiones del problema de las botnets, y cómo estas pueden afectar a los usuarios.

El caso que les traigo hoy fue una noticia que circuló fuertemente por la web en los últimos meses: una red botnet que se autodestruyó a sí misma. ¿Qué quiere decir esto? Que los 100.000 equipos zombis que, se estimaba, eran parte de la red, recibieron desde el centro de Comando y Control (C&C) una modificación en los registros de Windows, que inhabilita el funcionamiento del Winlogon (el control de usuario y contraseña en el sistema operativo) y, por lo tanto, volvía inoperable el sistema operativo. Al modificar claves del registro específicas, una vez que los usuarios reiniciaban el sistema, el mismo ya no iniciaba correctamente, y era necesaria una reparación o reinstalación del sistema operativo (al menos parcial) para poder recuperar el funcionamiento del equipo.

Un comportamiento auto-destructivo de este tipo no es normal en redes botnets. Su objetivo es, justamente, mantener a los equipos infectados de forma tal de aprovechar sus recursos para fines maliciosos. Entonces, ¿por qué destruiría el administrador de la red, la capacidad de controlar miles de equipos?

A continuación, comparto con ustedes algunas hipótesis que han (y hemos) realizado distintos profesionales e investigadores de la seguridad de la información:

  • Esta fue la primer hipótesis que fue publicada por los medios. Al ser el principal objetivo de la red, la recolección de credenciales de acceso bancarias, la teoría indica que los atacantes recopilaron suficiente combinación de usuarios y contraseñas, y posteriormente destruyeron los sistemas operativos de las víctimas, de forma tal que estas no accedan por unos días a sus bancas en línea, y no puedan detectar la pérdida de dinero de sus cuentas.
  • Los administradores de la botnet, detectaron actividad de intrusos en la red, y supusieron que esta podía referir a investigadores en seguridad o, peor aún, actividad de autoridades estatales que investiguen los delitos. Ante  la duda, decidieron destruir la red a fin de evitar ser rastreados e identificados.
  • La otra alternativa es que efectivamente existía un intruso en la red, pero que no era una autoridad o un investigador, sino otro atacante, o "hacker" que a forma de competencia, o demostración, decidió destruir la botnet.
  • La última teoría, que compartió conmigo un amigo profesional de la seguridad, es que también ha de ser posible, que todo haya sido producto del error humano. No hace falta ser un genio para administrar una botnet, y quizás algún administrador cometió un error y desató la autodestrucción de la red.

Cabe destacar que la botnet se correspondía con el paquete Zeus, del cual ya hemos mostrado sus interiores en diversos post en este Blog.

Desde ya, que nuevas hipótesis de nuestros lectores serán bienvenidas a través de los comentarios, así como también las opiniones que el incidente les genere.

Sebastián