Video: Como funcionan y se crean las Botnets (Noviembre 2024)
¡Alegrarse! ¡La botnet Citadel ha caído! Las computadoras que una vez esclavizaron son gratuitas, y el mundo estará en orden. Bueno, no del todo, pero Microsoft anunció ayer que se habían asociado con el FBI y otras organizaciones para desconectar a 1.462 redes de bots independientes de Citadel.
La acción, liderada por Microsoft, se anuncia como un gran éxito. En un comunicado del FBI, la oficina escribió que participaron "en operaciones separadas pero coordinadas" que involucraban a Microsoft y otras compañías. "El FBI proporcionó información a sus homólogos extranjeros de aplicación de la ley para que también pudieran tomar medidas voluntarias en la infraestructura de botnets ubicada fuera de los Estados Unidos", escribió la oficina. "El FBI también obtuvo y entregó órdenes de registro autorizadas por el tribunal relacionadas a nivel nacional con las botnets".
El derribo
Microsoft comenzó su investigación sobre Ciudadela en 2012, y rápidamente descubrió el alcance masivo de la operación ilegal. Escribieron en un comunicado de prensa que Citadel había infectado más de cinco millones de computadoras en 90 países, incluidos Estados Unidos, Europa, China, India y Australia. Microsoft estima que el malware fue responsable de robar medio billón de dólares tanto de particulares como de empresas.
El primer paso para eliminar los servidores comenzó en el Tribunal de Distrito de los Estados Unidos para el Distrito Oeste de Carolina del Norte, que autorizó a Microsoft a cortar las comunicaciones entre 1, 462 botnets Citadel y las computadoras infectadas.
"El 5 de junio, Microsoft, escoltado por los Alguaciles de EE. UU., Confiscó datos y pruebas de las botnets", escribió la compañía de software. Esto incluía servidores de instalaciones de alojamiento de datos en Nueva Jersey y Pensilvania.
Ken Pickering, estratega de seguridad de CORE Security, dijo que este tipo de asociación público-privada era algo bueno. "Hay ciertas habilidades y talentos en el sector privado que no están en el sector público", dijo.
Pickering continuó diciendo que derribar Citadel también es bueno para Microsoft. Explicó, "estas son vulnerabilidades de su producto y están afectando a su base de usuarios".
¿Qué es la ciudadela?
Si eres un lector habitual de SecurityWatch, probablemente hayas visto a Citadel mencionado anteriormente. Probablemente sea mejor conocido por ser la carga maliciosa en la debacle de publicidad maliciosa de NBC.com, donde un anuncio comprado legalmente contenía código malicioso.
En el momento del ataque NBC, Malwarebyets le dijo a PC Mag que Citadel se basa en el troyano bancario Zeus. En el comunicado de ayer sobre el desmontaje, Microsoft mencionó específicamente las capacidades de registro de teclas de Citadel y cómo se usaba para comprometer las cuentas bancarias de las víctimas.
"Debido a que los operadores utilizaron el malware para robar las credenciales bancarias en línea de las víctimas y realizar transacciones fraudulentas, los líderes de la industria de servicios financieros, incluidos FS-ISAC, NACHA, ABA y Agari, respaldaron la demanda civil de Microsoft al actuar como declarantes en el caso", escribió Microsoft.
Citadel es notable por su diversidad y facilidad de configuración, y Symantec escribe que se puede comprar por alrededor de $ 3, 000. Estas 1.462 botnets activas mencionadas por Microsoft son redes de computadoras infectadas independientes entre sí, pero todas ejecutan el mismo software, o similar. Con suerte, esto enviará un mensaje a otras personas que molestarán que Citadel puede no ser la herramienta de elección.
Aunque es difícil determinar el número exacto de botnets Citadel en la naturaleza, Pickering fue optimista. "Creo que interrumpieron una gran parte de ellos", dijo.
Sin embargo, también señaló que muchas botnets están fuera de los Estados Unidos. "Una gran parte de las botnets están operando en Ucrania y Rusia", dijo Pickering.
Que sigue
Lo importante para recordar es que Ciudadela no está muerta. "Debido al tamaño y la complejidad de la amenaza, Microsoft y sus socios no esperan eliminar completamente todas las botnets que usan Citadel", escribió Microsoft. "Sin embargo, se espera que esta acción interrumpa significativamente la operación de las botnets, haciendo que sea más arriesgado y costoso para los ciberdelincuentes continuar haciendo negocios y permitiendo a las víctimas liberar sus computadoras del malware".
Si bien la eliminación de los servidores ciertamente ha paralizado la botnet, aumentar el riesgo y el costo para las organizaciones y las personas que ejecutan las botnets Citadel es probablemente más valioso. La mayoría de los delitos cibernéticos es un juego de números, que depende de muchos éxitos, a veces pequeños éxitos, para ganar dinero. Cuando un método de ataque se vuelve demasiado difícil o demasiado costoso, los delincuentes se ven obligados a innovar o rendirse.
El siguiente paso más importante es eliminar el malware Citadel de las computadoras infectadas para que las botnets Citadel no puedan resucitar más tarde. "Inmediatamente después de la interrupción, Microsoft utilizará la inteligencia de amenazas recopilada durante la incautación para trabajar con los proveedores de servicios de Internet y los equipos de respuesta a emergencias informáticas de todo el mundo para notificar de manera rápida y eficiente a las personas si su computadora está infectada", escribió Microsoft. Si ya sabe que ha sido infectado, las herramientas de eliminación de malware como nuestra Editors 'Choice Malwarebytes Anti-Malware 1.70 serían un buen primer paso para limpiar su computadora.
A pesar de que Citadel no está realmente muerto, Microsoft, el FBI y todos los demás jugadores se apresuran a señalar que trabajar juntos fue una victoria. Esperemos que tengamos más buenas noticias sobre otros supergrupos que trabajan para derrotar a los malos.
