Las botnets son una de las amenazas de seguridad de red más significativas que las organizaciones actuales enfrentan. Las utilizan los cibercriminales para tomar el control de computadoras y ejecutar actividades ilegales y perjudiciales – comprometiendo desde unos cuantos miles hasta más de un millón de sistemas; hurtan datos, obtienen acceso a recursos no autorizados de la red, inician ataques de negación del servicio (DoS) o distribuyen spam.
Las botnets están aquí para quedarse. Ya no existe el malware estático; las botnets son dinámicas por naturaleza y pueden cambiar de forma rápidamente basadas en la orden del cibercriminal. Con conjuntos de herramientas de bots que se venden en línea por la módica suma de $500 dólares y los ataques le cuestan millones de dólares a las compañías – esto da una muestra de cuán grande se ha vuelto el problema.
El Impacto de una Infección de Bot
Se ha calculado que hasta un cuarto de todas las computadoras personales conectadas a la Internet pueden ser parte de una botnet. En 2011 se reportó que la botnet TDL infectó más de 4.5 millones de computadoras y aproximadamente cien mil direcciones únicas por día. Además, la industria vio casi la mitad de los profesionales de seguridad TI experimentar un aumento drástico en ataques de malware.
Esta explosión surgió de varios elementos centrales:
• El Malware se ha Convertido en un Gran Negocio
Los cibercriminales ya no son aficionados aislados. Pertenecen a organizaciones bien estructuradas que se parecen a células terroristas – con dinero, motivación y metas. Pueden implementar inteligencia considerable, tiempo y recursos con el fin de ejecutar botnets que le pueden costar millones a las compañías.
La información se ha convertido en una mina de oro para los hackers. Sin embargo los datos financieros no son lo único valioso que vale la pena hurtar. Vemos un aumento en los atacantes que buscan información general de los clientes y estan menos interesados en datos específicos de facturación o de tarjetas de crédito. Tal información puede ser muy lucrativa para los hackers permitiéndoles personalizar ataques futuros o campañas de spam e incrementar las posibilidades de éxito. Imagine por ejemplo enviarle un correo a 500 000 personas con una propuesta para comprar un producto. Si sólo una persona de entre mil ordena su producto ya son 500 nuevas órdenes. Ahora imagínese la ganancia latente que un spammer puede hacer con 70 millones de direcciones de correo electrónico.
Como ejemplo de lo poderoso que puede ser una botnet la botnet “Rustock” estaba generando hasta catorce billones de correos electrónicos de spam por día antes de ser desmantelada por las autoridades federales de Estados Unidos en marzo de 2011.
• Aumento en Amenazas Sofisticadas
Las organizaciones enfrentan un “zoológico” de tipos de malware que resultan en una gama amplia de amenazas de seguridad incluyendo virus, gusanos, troyanos, spyware, adware y botnets por nombrar algunas. Estas son herramientas que los cibercriminales usan en Amenazas Persistentes Avanzadas (APTs por sus siglas en inglés), donde los individuos u organizaciones son blancos específicos de ataques. Además las botnets son polimorfas por naturaleza y pueden imitar patrones normales de aplicaciones y de tráfico – complicando a las soluciones basadas en firmas tales como el antivirus combatir sólo las botnets. Las compañías necesitan un enfoque multicapas para mitigar efectivamente la amenaza de los bots.
Numerosos Vectores de Ataques
Existen varios puntos de entrada para violar las defensas actuales de una organización incluyendo vulnerabilidades basadas en el navegador, celulares, anexos maliciosos y medios removibles por nombrar algunos. Además, la explosión de aplicaciones Web 2.0 y de redes sociales que se utilizan como herramientas de negocio le dan a los hackers una oportunidad enorme para engañar a las víctimas a que opriman sobre links maliciosos o “malvertising” – publicidad maliciosa que corre en sitios web legítimos.
Una Mirada Histórica a las Botnets
Al mirar la evolución de la amenaza bot, el primero, “GMBot” no era malicioso. De hecho fue creado a finales de 1980 para emular a una persona en vivo en sesiones de Internet Relay Chat (IRC). Sin embargo, alrededor de 1999 surgieron bots que fueron diseñados con malas intenciones. Luego de eso los bots se volvieron más sofisticados y en algunos casos se comercializaron como productos. El bot Zeus de 2006 por ejemplo se vendió originalmente por varios miles de dólares. A mediados de 2011 el código fuente para los conjuntos de botnets de Zeus y de SpyEye se filtró haciendo disponibles estas creaciones de botnet poderosas para prácticamente cualquiera que quiera establecer su propia botnet.
Actualmente las botnets se utilizan como una puerta trasera a su empresa. Una vez adentro los hackers operan en silencio y permanecen debajo del radar para robar tantos datos como sea posible antes de que detecten su presencia. Desafortunadamente, debido a que los bots son tan clandestinos, muchas empresas no se dan cuenta cuando sus computadoras han sido infectadas y los equipos de seguridad a menudo carecen de la visibilidad apropiada de las amenazas que las botnets crean.
La Amenaza Futura
En los años venideros las botnets continuarán evolucionando al utilizar una combinación de ingeniería social, explotaciones de día cero así como la proliferación del cómputo móvil y de las redes sociales.
En el pasado se asumía que la mayoría de las botnets populares corrían en máquinas Windows esto ya no es cierto ahora. Los sistemas Linux y Mac no son inmunes. Las nuevas variantes de botnets son multiplataforma y la industria debe esperar ver también más botnets basadas en Apple, Android y en otros móviles donde se comunican con servidores de comando y control (C&C) usando redes 3G o Wi-Fi.
Una tendencia perturbadora es el uso de redes sociales que se utilizan como centros de comando y control. Las redes sociales y los servicios basados en la Web como la MI se usan para mandar instrucciones a programas maliciosos instalados en las redes de las víctimas y le da a los hackers la capacidad de mandar comandos encriptados. Mediante redes sociales como Twitter el cibercriminal puede comenzar sus operaciones rápidamente y desactivarlas ágilmente sin incurrir en gastos de gestionar todo un servidor.
Aprovechar las Técnicas de Ingeniería Social
Además los hackers estan aprovechando técnicas de hackeo nuevas y de ingeniería social para dirigir las actividades de la botnet. Las redes sociales también han facilitado obtener datos personales y profesionales sobre individuos y crear nuevos puntos de entrada para ejecutar ataques de ingeniería social, botnets y APTs. El estudio de Check Point ha mostrado que la motivación principal de los ataques de ingeniería social es la ganancia financiera (51 por ciento), seguido del acceso a información de propiedad (46 por ciento), ventaja competitiva (40 por ciento) y venganza (Catorce por ciento) y puede costarle a las empresas desde US$25 000 hasta US$100 000 por incidente de seguridad.
En esta época los hackers pueden obtener fácilmente las herramientas y recursos necesarios para ejecutar ataques de botnet exitosos. Lamentablemente este es un juego del gato y del ratón. Cada vez que un nuevo antivirus emite una firma de archivo, los autores de malware crean nuevas variantes. Afortunadamente las autoridades, las grandes corporaciones y los expertos de seguridad están comenzando a tomar las cosas seriamente y detener los bots como el Rustock en sus pasos. Al traer los servidores C&C los maestros de bot pierden el control sobre todas las computadoras zombie y previenen que las infecciones se diseminen. Mientras miles de compañías ya han sido blanco de bots y APTs las empresas tienen la responsabilidad de detener que se esparzan.
Por Tomer Teller, investigador de seguridad y evangelista de Check Point Software Technologies.
[tubepress views=”false” title=”false” length=”false” video=”6495O71W5iE”]