Hace unas pocas semanas, el intensamente reportado ataque del ransomware WannaCryptor recibió mucha más cobertura de la que podríamos haber esperado para este tipo de malware, y a la vez hizo que queden de lado los otros tipos de amenazas que se propagan por Internet.

Más peligroso que el ransomware es el malware capaz de tomar el control por completo de las máquinas afectadas, formando una red de equipos zombi controlados en masa en forma remota, llamada botnet.

El motivo por el que las botnets suponen una amenaza mayor es que sus operadores son capaces de usarlas para ejecutar virtualmente cualquier tarea, con una tasa de éxito cercana al 100%. Es cierto que no son tan visibles como el ransomware, porque en general las víctimas ni siquiera saben que fueron infectadas, mientras que el ransomware muestra aterradoras pantallas de bloqueo exigiendo el pago de un rescate. Para el público general, están fuera del radar, pero eso puede cambiar en cualquier momento.

Las botnets no solo dañan a los dueños de las computadoras infectadas, sino también a otros: pueden enviar spam, distribuyendo una variedad de engaños y amenazas escondidas en archivos adjuntos; ejecutar ataques DDoS; o ser usadas para engañar a redes de publicidad.

Cada uno de estos usos es preocupante, ya que el spam compone entre el 50 y el 70% del tráfico de correo electrónico total. De los mensajes con adjuntos maliciosos, el 85% puede ser relacionado al ransomware.

El operador de la botnet (botmaster) puede tratar de acceder a la cuenta bancaria de su víctima o recolectar todas sus credenciales (por ejemplo, de redes sociales o correo electrónico), o al menos usar los recursos del sistema para minar bitcoins u otra criptomoneda. Por si fuera poco, el peligro más subestimado es que los operadores pueden cifrar fácilmente cada uno de los ordenadores de su botnet.

Los últimos desarrollos en botnets

Dentro de la maduración general del cibercrimen, los operadores de botnets buscan obtener los mejores márgenes de ganancia de los ordenadores bajo su control. Originalmente, su principal medio de monetización era la distribución de spam. Las botnets potentes pueden enviar miles de millones de correos electrónicos de spam por día hasta donde sabemos, el récord lo tiene la botnet Marina con una escalofriante capacidad que supera los 90 mil millones.

Es cierto que las botnets no son tan visibles como el ransomware, pero son más peligrosas
Las botnets más grandes de la historia eran demasiado notorias como para evadir la atención de las autoridades y las firmas de seguridad, que ejecutaron muchas operaciones y eventualmente desmantelaron algunas de ellas.

Para evitar la detección y mejorar la resiliencia, hay innovaciones. Se ha abandonado el modelo simple de cliente-servidor y se ha migrado al modelo P2P (Peer-to-Peer), en el que los bots funcionan tanto como servidor y como cliente; es decir, envían y reciben comandos por igual, por lo que se evita tener un único punto de falla.

Hace no tanto, en diciembre de 2016, una botnet llamada Avalanche fue dada de baja tras un esfuerzo coordinado entre autoridades y compañías de seguridad, entre las que estuvo ESET. La infraestructura de Avalanche era sofisticada y muy resiliente. Usaba la tecnología fast-flux, que cambia con frecuencia las direcciones IP de los servidores de C&C y los nombres.

Para desmantelarla, se incautaron o bloquearon 800.000 direcciones de dominios web, se dejó offline a 220 servidores y se arrestó a cinco personas. Avalanche tenía potencialmente más de un millón de víctimas; medio millón fueron identificadas y eventualmente sus ISP las notificaron del incidente. Esta botnet distribuía muchos tipos de malware, un claro indicador de que esta red fast-flux se vendía como servicio a otros cibercriminales; más que nada se trataba de amenazas dedicadas al robo de credenciales, ransomware y troyanos bancarios.

Más que computadoras personales

Si bien las botnets típicas comprometen computadoras personales, existen otros dos tipos de bots: los servidores y las "cosas" (de la Internet de las Cosas, es decir, los dispositivos inteligentes conectados a Internet). Cada uno de ellos presenta distintas ventajas a los criminales.

Se abandonó el modelo simple de cliente-servidor y se ha migrado al modelo P2P, en el que los bots cumplen ambos roles
Los servidores web infectados pueden redirigir tráfico y, dado que típicamente son más poderosos que las computadoras, y tienen una tendencia a ser parte de canales más rápidos de Internet, son ideales para la distribución de spam.

Los dispositivos que entran dentro de la categoría de "cosas" de la IoT tienden a estar mal protegidos y, por lo tanto, son fáciles de infectar. Debido a su naturaleza, estas cosas pueden ser usadas para tareas bien simples, por lo que su utilización maliciosa está bastante limitada a la ejecución de ataques DDoS.

Sin embargo, este es un gran problema, ya que según Gartner, una compañía líder de investigación y asesoramiento de TI, el número de cosas conectadas llegará a 20,8 millones en 2020.

Servidores esclavizados

Una de las botnets de servidores más grandes de la historia fue desmantelada por la acción conjunta de agencias de fuerzas de orden de varios países, con el apoyo de ESET, en 2014. En este caso, Operación Windigo llevó a la vivisección de una gran botnet basada en el backdoor OpenSSH Linux/Ebury.

El análisis de ESET halló que más de 25.000 servidores habían sido afectados en los dos años previos, y que más de 10.000 seguían infectados al momento del operativo. Se usaban para redirigir a medio millón de visitantes a contenido web malicioso, y eran capaces de enviar más de 35 millones de mensajes de spam por día.

Mumblehard fue otra botnet de servidor dada de baja con éxito gracias a nuestra ayuda. Un análisis del tráfico del C&C mostró que constaba de cerca de 4.000 servidores infectados, usados para enviar spam. A tal fin, la banda detrás de Mumblehard utilizaba un script que monitoreaba automáticamente una de las listas de bloqueo compuesto (CBL) más conocidas, Spamhaus.

Si entre las direcciones IP de todos los equipos infectados encontraba una dirección IP en la lista negra, creaba una petición para que se eliminara. Estas peticiones estaban protegidas con CAPTCHA para evitar la automatización, pero se hacía uso de herramientas de reconocimiento óptico de caracteres (OCR) o de servicios externos para romper la protección.

"Cosas" esclavizadas

Las llamadas botnets de IoT llegaron a ser prominentes en octubre de 2016 cuando el proveedor de servicios del Sistema de Nombres de Dominio (DNS) Dyn fue el blanco de un ataque DDOS sostenido. Esto llevó a cortes en los principales sitios y servicios, incluyendo Twitter, SoundCloud, Spotify y muchos otros. En el mes que transcurrió, cuando emergieron los datos sobre la botnet Mirai utilizada en el ataque, reapareció en los ataques a la página web de Krebs on Security, alcanzando velocidades de 620 Gbit/s y más tarde un récord de 1 Tbit/s al atacar al proveedor de hosting OVH.

Mirai es una red de dispositivos online, como cámaras IP y routers domésticos, infectados con el malware Mirai. Este analiza Internet en busca de dispositivos vulnerables, es decir, aquellos que ejecutan versiones desactualizadas de Linux y que tienen configuraciones predeterminadas, incluidas las credenciales predefinidas de fábrica. Cualquier dispositivo de este tipo se infecta y se convierte en parte de la botnet, recurriendo al servidor C&C para recibir comandos como la dirección IP a atacar con tráfico coordinado.

Si los operadores de necurs ejecutaran un verdadero ataque DDoS, sería por lejos el más grande
Desafortunadamente, el código fuente de Mirai fue publicado en foros de código abierto, lo que ha permitido la aplicación más amplia de esta técnica a otros proyectos de malware.

Por lo tanto, cualquier dispositivo IoT no protegido la investigación de ESET sugiere que al menos el 15% de los routers domésticos, estimados en 105 millones a nivel mundial es inseguro y tiene alto riesgo de ser infectado por malware como Mirai y formar parte en los ataques DDoS que se valen de la IoT.

Con los ataques DDoS en aumento (ya sea que las botnets involucradas comprendan computadoras personales, servidores o "cosas"), las organizaciones deben tomar medidas para prepararse, no sólo técnicamente, sino porque también hay importantes implicaciones legales.

Necurs: un ejemplo a seguir de cerca

Necurs es la botnet de spam más grande del mundo, con cerca de cinco millones de bots infectados, de los cuales un millón están activos cada día. En 2016 añadió un nuevo módulo que puede ser usado para ejecutar ataques DDoS, pero recién hace poco fue descubierto y analizado por investigadores.

Si sus operadores ejecutaran un verdadero ataque DDoS, sería por lejos el más grande de los que ha habido. Sin embargo, esta noticia no llama mucho la atención. ¿Por qué?

Necurs era una parte estable de la escena del spam y considerada líder global en distribución de ransomware. Pero, desde diciembre de 2016, pasó a otro tipo de cibercrimen cuando empezó a distribuir correos falsos con engaños de acciones financieras, que incluyen noticias falsas sobre determinadas acciones. Estos mensajes se usaron para inflar el precio de esas acciones y luego beneficiarse de ello.

Evolucionó entonces desde ransomware hasta la estafa de valores y luego a DDoS en el transcurso de unos meses; la velocidad a la que los operadores de Necurs cambian la utilización de su botnet muestra que hay desarrollos dramáticos detrás de escena.

Con la excepción de la capacidad de DDoS, todos los modelos de negocio de botnet actualmente implementados apuestan por la sostenibilidad a largo plazo. Es comprensible que el establecimiento de la botnet sea la parte más difícil de los esfuerzos de los criminales y lo último que necesitan es atraer la atención de las autoridades, arriesgarse a que sus servidores se den de baja o incluso se incauten, y terminar en la cárcel.

Al parecer, el foco de los grandes operadores de botnets en la sostenibilidad realmente les impide participar en impactantes ataques DDoS. Sin embargo, si ellos (por cualquier razón) optan por un Big Bang, podríamos esperar algo excepcional. Esperemos que solo sea un ataque DDoS récord o, peor aún, un ataque de ransomware; esta vez cifrando los bots en lugar de simplemente distribuir correos electrónicos con archivos adjuntos infectados.

Amenaza subestimada: botnets enteras tomadas de rehén

Estas amenazas apoyan la afirmación de que las botnets son más peligrosas que las campañas de ransomware que Internet ha sufrido hasta ahora. Compara la escala: el último gran brote de ransomware, WannaCryptor, también conocido como WannaCry, afectó a unas 350 mil computadoras.

Las botnets en general contienen cientos de millones de computadoras (según el FBI, aproximadamente 500 millones de computadoras son infectadas globalmente cada año). No solo eso, sino que todas y cada uno de ellas pueden ser cifradas. Sin mencionar que si los operadores un día deciden hacerlo, podrían simplemente distribuir un payload de ransomware de su elección.

Sería tan fácil como proporcionar a la botnet un nuevo conjunto de instrucciones para distribuir spam o utilizarla para atacar a una serie de objetivos con una avalancha de peticiones. En otras palabras, una operación para cifrar todas las computadoras activas en una botnet probablemente alcanzaría una tasa de éxito del 100%, sin nada que se interponga en su camino.

Protección de botnets, una solución necesaria

Incluso sin la amenaza de cifrar todos los bots, las botnets son una clara amenaza y un peligro presente. Por lo tanto, tanto los usuarios como las organizaciones deben trabajar para evitar ser víctimas de este tipo de malware.

Claro, el objetivo final es evitar que cualquier malware atraviese el perímetro o ejecute sus tareas maliciosas o, en el peor de los casos, contener el daño. Para lograr este objetivo, debe desplegarse una gama completa de herramientas y métodos de seguridad, desde el entrenamiento hasta la implementación de soluciones de seguridad de redes y terminales, hasta soluciones de protección de datos y backup.

En cuanto a la protección contra botnets, se debe desplegar una capa especializada de protección. Los principales fabricantes, entre ellos ESET, ofrecen la protección contra botnets como una capa de seguridad adicional para detectar comunicaciones malintencionadas o sospechosas utilizadas por botnets. Cualquier comunicación de este tipo se bloquea y se informa al usuario.

El ransomware es un problema bastante visible y doloroso; sin embargo, las botnets representan una amenaza oculta que, si alguna vez se materializa, sería bastante capaz de paralizar Internet.