Hace ocho años, el 21 de noviembre de 2008, Conficker asomó su horrible cabeza. Y desde entonces, el "gusano que rugió" (como dice el investigador distinguido de ESET Aryeh Goretsky) se ha mantenido obstinadamente activo.
Destinado a atacar los sistemas de Microsoft Windows, ha infectado computadoras domésticas, corporativas y gubernamentales en 190 países. Los expertos lo consideran el gusano más notable y difundido desde la aparición de Welchia, unos cinco años antes.
Conficker, como vamos a analizar a continuación, generó numerosas versiones con diferentes métodos de ataque (desde inyectar código malicioso en correos electrónicos de phishing hasta copiarse al sector ADMIN de una máquina Windows). En última instancia, sin embargo, el gusano siempre aprovechaba (y de hecho, sigue aprovechando) una vieja vulnerabilidad sin corregir para adivinar contraseñas y secuestrar equipos Windows con el objetivo de formar una botnet. Esta botnet se utilizaría luego para distribuir spam o instalar scareware (una vez más, como lo sigue haciendo hoy en día).
11 millones de dispositivos y contando
Conficker se convirtió en uno de los brotes de malware más graves de todos los tiempos y se cobró algunas víctimas famosas.
Se denunciaron alrededor de 11 millones de dispositivos infectados hasta la fecha, entre los que se incluyen máquinas del Ministerio de Defensa del Reino Unido y las Fuerzas Armadas Unificadas de Alemania Bundeswehr.
Al parecer, le costó al Consejo del Reino Unido 1,4 millones de libras recuperarse de una infección de Conficker en 2009, mientras que el periódico Ouest France informó que hubo que desactivar los aviones de combate franceses a causa de la infección del gusano.
Tal notoriedad hizo que el Departamento de Seguridad Nacional de los Estados Unidos financie el equipo The Conficker Working Group, en el que participan miembros de ESET, CISCO, Facebook, ICANN, Microsoft y varios otros, con el fin de investigar su impacto en el largo plazo.
Según los analistas en la iniciativa Cyber Secure Initiative, los costos mundiales de la desinfección de Conficker podrían haber llegado a los USD 9 mil millones. También preocupó el hecho de que el gusano tuviera un mayor impacto en la infraestructura de Internet.
"Con millones de equipos bajo su control, muchos expertos en seguridad especularon sobre lo que los atacantes intentarían hacer", expresó The Conficker Working Group en un paper.
"El gusano, debidamente instruido, podía ser una amenaza real para la infraestructura crítica de Internet"
Y agregaron: "Los peores escenarios fueron sombríos. El gusano, debidamente instruido, podía ser una amenaza real para la infraestructura crítica de Internet. Hasta sus usos más benignos podrían causar graves problemas en el sector público o privado".
No obstante, estas citas corresponden al año 2009. Más recientemente, se cree que Conficker ha comenzado a infectar y secuestrar los nuevos dispositivos de la IoT, incluyendo máquinas de resonancia magnética, escáneres de tomografía computada y equipos de diálisis conectados, desde donde roba historiales médicos, así como cámaras de la policía incorporadas al uniforme. Conficker está considerado la familia de malware más extendida, incluso al compararla con otras persistentes como Tinba y Sality.
En verdad, parte del éxito de Conficker tiene que ver con la gran cantidad de nuevas variantes y de métodos mejorados de ataque. Más recientemente, los analistas dijeron que este malware de autorreplicación (una vez más, conocido por infectar a través de medios USB) es capaz de moverse lateralmente a través de una red para copiarse a ciertos dispositivos, según las instrucciones específicas enviadas por el criminal desde su servidor de comando y control (C&C).
Microsoft incluso ofreció una recompensa de USD 250.000 en 2009 para quien proporcionara información que llevara a la "detención y condena" de cualquier persona declarada culpable de "lanzar ilegalmente el código malicioso Conficker en Internet". Es una recompensa que aparentemente nunca se llegó a pagar.
"Las personas que escribieron este malware tienen que ser condenadas", dijo en aquel momento George Stathakopulos, del grupo Trustworthy Computing Group de Microsoft.
Y como vamos a explicar a continuación, parece que Conficker se convirtió en una bestia demasiado grande para que cualquier ciberdelincuente realmente pudiera hacer uso de ella.
Los ataques van cambiando con el paso del tiempo
Es probable que el éxito de Conficker se deba en gran parte al viejo problema de la gestión de parches. Aprovechó una vulnerabilidad de Microsoft Windows (MS08-67), para la cual el gigante de software de Redmond ya había lanzado un parche 29 días antes de que Conficker comenzara a propagarse.
Conficker, como se mencionó anteriormente, también cambió de rumbo varias veces. Pasó de ser un gusano que funcionaba "sin cabeza" (es decir, sin un servidor de C&C) y que se solía propagar mediante redes compartidas y memorias USB, a convertirse en variantes más modernas que se movían lateralmente a través de las redes, identificando los dispositivos débiles y vulnerables.
"La mayoría del malware que vemos hoy no se sigue propagando por sus propios medios como el gusano Conficker", dijo el analista independiente de seguridad Graham Cluley a fines del año pasado.
Según Cluley, "los cibercriminales de hoy escriben troyanos diseñados para no llamar la atención. A veces incluso solo los envían a una pequeña lista de objetivos específicos para mejorar sus posibilidades de infectar sistemas sin ser detectados y darles a los atacantes acceso a sus archivos y comunicaciones".
En la actualidad, cualquier buen antivirus debería ser capaz de detectar y eliminar el gusano; el único problema es la naturaleza de autopropagación de Conficker, que hace que los equipos ya infectados sigan infectando a otras PC que no tengan ningún software antivirus.
¿Qué pasó con los ciberdelincuentes?
"Llamó demasiado la atención sobre sí mismo y eso lo llevó al fracaso"
Curiosamente, pasó poco con estos ataques. El investigador senior de ESET David Harley observó que "parece que no se hizo nada" con los innumerables equipos infectados.
Se pregunta si el malware y la botnet resultante atrajeron demasiada atención de los medios de comunicación: "Quizá la banda simplemente determinó que la industria de la seguridad estaba vigilando demasiado de cerca a la botnet como para poder lograr algo".
Goretsky opina lo mismo y agrega: "Al estar a plena vista de los investigadores antimalware de todo el mundo, que informaban cada uno de sus movimientos, era difícil para la pandilla criminal detrás de Conficker hacer cualquier cosa para monetizar su gusano".
Según el investigador, "eran como ladrones que anunciaban que iban a robar un banco. No cabe duda de que la policía va a responder a ese tipo de casos. Llamó demasiado la atención sobre sí mismo, y eso es lo que finalmente lo llevó a su fracaso, al menos en términos de utilizarse como una herramienta para cometer más delitos cibernéticos".
En la actualidad, Conficker y sus operadores permanecen en la oscuridad. El grupo criminal que operaba el gusano parece haber abandonado sus actividades hacia finales de 2009. Sin embargo, aquí estamos, en 2016, todavía luchando con un gusano que parece haber sido abandonado a su propia suerte.
Aunque en muchos sentidos Conficker sigue siendo un misterio, es un ejemplo vívido de la ciberdelincuencia y del panorama de amenazas en constante evolución.