Entradas clasificadas como ‘botnet’
Si quiere derribar la infraestructura de información de un país y no quiere que nadie sepa quien lo hizo, el arma de elección es una ataque de denegación de servicio. Usando una red bot alquilada, se pueden lanzar cientos de miles -incluso millones- de infobombas a un objetivo, todo mientras se mantiene una total negación, En este escenario hipotético, un solo ataque lanzado por China contra los EEUU duraría solo pocas horas, pero un ataque declarado que dure días o semanas podría poner de rodillas la moderna economía de la información.
1. Atacante
En este escenario, la tensión sobre las propuestas de legislación de EEUU para elevar los aranceles a las importaciones Chinas disparan una crisis. Beijing ordena un ataque limitado a los sistemas de computación de los miembros del congreso de EEUU y corporaciones que apoyan el proyecto de ley. Los pagos son derivados mediante servicios anónimos como PayPal (usualmente usando oficinas ubicadas en Latinoamerica). Las direcciones IP atacadas y las cuentas de correo electrónico (recogidas en operaciones previas) son distribuidas mediante salas de chat privadas usadas por hackers criminales. Cuando el ataque está en marcha, una campaña mediática y diplomática China describirá a los atacantes como cibervigilantes que operan por su propia cuenta.
2. Arrendadores de red Bot
Los hackers de computadora independientes funcionan como administradores de los ataques de Denegacion de Servicio Distribuidos (DDoS). Típicamente, un hacker o agrupación de hackers controla una o más redes bot gigantes, redes mundiales que pueden incluir 100.000 computadoras. Cada máquina ha sido infectada subrepticiamente por los arrendadores de red bot con un malware bot, una pieza de software controlada de forma remota. Los Arrendadores usualmente se ganan la vida alquilando esta redes para el envío de spam comercial, fraudes de phishing, y extorsiones de denegacion de servicio. A la señal del arrendador de bot, su red de bots puede lanzar millones de paquetes de información hacia un solo objetivo, aplastando sus defensas e incluso haciéndolo caer o llevando a sus propietarios a apagarlo como una medida defensiva.
3. Zombie
Una vez que una computadora común se infecta con un bot, se convierte en uno de los drones involuntarios de conforman una red bot mundial. Cuando estas máquinas, conocidas como zombies, recibe una señal del arrendador de la bot, el bot toma control de sus anfitriones y envía múltiples paquetes de información -usualmente spam- a los destinatarios designados. Gracias a la naturaleza distribuida de estas redes, los ataques parecen venir de una cantidad de computadoras personales distribuidas al azar por todo el mundo. En este escenario, muchas incluso estarán dentro mismo de los EEUU. Y si uno se pregunta si su PC está infectada, la detección no es sencilla. Afortunadamente, nuevas versiones de software de seguridad hogareño, como Norton antiBot, apuntan a esta nueva clase de malware. Pero los bots mutan todo el tiempo, de modo que el juego lejos está de haber terminado.
4. El blanco
Un ataque DDoS a escala completa como un acto de guerra podría apuntar a servidores militares y gubernamentales, correo electrónico civil, bancos, y compañías de teléfono. Pero en este probable escenario, los blancos son sitios Web y sistemas de correo de miembros del congreso y corporaciones que apoyan barreras comerciales más elevadas. Estos grupos culpan al gobierno Chino, pero no pueden probarlo. Sin embargo, los blancos serían apagados mientras se realizan actualizaciones de seguridad y control de daños, inhibiendo su capacidad para trabajar en nombre de la legislación.
Autor: John Robb
Fuente: Wired
Traducción de Raúl Batista para Segu-Info
Categorías: botnet · dos · exclusivo
Es curioso esto de las botnets, el mercado underground del malware, y como, poco a poco, su funcionamiento se asemeja más al mundo corporativo real (o por lo menos, no tan underground)
Consideremos un recurso (la botnet), que consta de unos centenares de miles de PCs infectados (los bots) que están a tu entera disposición para lo que quieras: robar datos personales, robar contraseñas de servicios bancarios, enviar SPAM, lanzar ataques de DDoS contra alguien, extorsionar, etc.
Y para montar esto sólo tienes que conseguir crear un worm de éxito.
Lógicamente esto supone un potencial de lucro enorme. Inicialmente los que creaban estas redes, creaban el gusano, conseguían que se propagase, consolidaban su “base instalada”, y se dedicaban al negocio en sí de explotar la botnet.
Contenido completo en en Blog de Alfredo Reino
Categorías: botnet · malware
Y no, no es exageración. Según la compañía estadounidense Marsahll8e6, un estudio realizado a equipos de cómputo infectado por alguna de las botnets más prolíferas de nuestros tiempos es capaz de enviar por la red hasta unos 25 mil mensajes de Spam por hora, lo que a la postre nos da la cifra de 600 mil mensajes de correo electrónico no deseados por día y que a la vez nos arroja la suma de 4.2 millones de mensajes de Spam a la semana; impresionante tomando en cuenta que se tratan de cifras de una sola computadora infectada.
Y es que las peligrosas botnets que operan en la actualidad tienen un papel fundamental en las tasas de envío de Spam y correo electrónico basura, siendo las encargadas de infectar y proliferarse en los equipos de cómputo a los que tienen acceso y que no se encuentran debidamente protegidos contra el tipo de ataques que suelen lanzar estas botnets para tomar posesión. Y es que además del propio Spam, estas redes de Botnets hacen uso de diversas técnicas para infectar los equipos de los usuarios, como son los propios virus, adware, malware y phishing.
Cabe mencionar también que el año pasado con la desarticulación de la empresa de servidores McColo, las botnets que operaban a través de estos servidores sufrieron una significativa caída en sus rangos de acción y ataque, siendo que además algunos expertos afirmaron que los botnets montados sobre estos servidores eran capaces de enviar más de 6 millones de mensajes de Spam por día, en conjunto.
Fuente: SpamSpam y CIO
Categorías: Spam · botnet · informes
El martes McAfee publicó su informe trimestral de seguridad en Internet. ¿Los resultados? Los ciber-criminales han tomado el control de 12 millones de nuevas direcciones IP desde enero.
Súmelo y los EEUU tienen 18 porciento de sus máquinas controladas por redes zombis (botnets). Estas PC zombis parecen hacer cola para permitirle a los spammers recuperarse del desmantelamiento de McColo Corp. en noviembre de 2008.
Si recuerdan, McColo desapareció y los niveles de spam cayeron 60 porciento. Aquella caída del spam no duró mucho, estima McAfee. Algunos gráficos seleccionados del informe
Aquí hay un censo del porcentaje de máquinas zombi controladas por los spammers por país:
Y el spam generado por pais:
Y el miedo por Conficker es exagerado en relación a las vulnerabilidades de AutoRun:
Traducción exclusiva de Segu-info: Raúl Batista
Autor: Larry Dignan
Fuente: Blogs ZDNet
Traducción by Raul Batista is licensed under a Creative Commons Atribución-No Comercial-Compartir Obras Derivadas Igual 2.5 Argentina License.
Categorías: Spam · botnet · exclusivo
Investigadores de seguridad, de la Universidad de California en Santa Bárbara, irrumpieron en el nervio central de la botnet Torpig (también conocido como Sinowal o Mebroot) para encontrarse el botín (obtenido en) de diez días con 10.000 cuentas de banco y números de tarjeta de crédito con valor de cientos de miles de dólares.
Durante el secuestro de la botnet, los investigadores explotaron una debilidad en la forma que los equipos zombies intentar localizar a sus servidores C&C (N.T.: Command and conquer, servidores de control) y hallaron una operación criminal oculta que recolectó 70GB de información robada en solo diez días.
El Torpig es un interesante caso de estudio por la sofisticada naturaleza de la operación y el informe [.pdf] es de lectura obligada para cualquiera que busque comprender las prácticas de una banda criminal de computación.
La botnet fue contruida utilizando un rootkit MBR (master boot record) que se ejecuta en el momento de inicio, antes que se cargue el sistema operativo. Una vez que se infecta la máquina, el malware recolecta y envia la información cada 20 minutos. La información robada incluye direcciones de correo electrónico, contraseñas de Windows, credenciales FTP y cuentass POP/SMTP.
Y, por supuesto, información financiera:
En diez días, Torpig obtuvo las credenciales de 8.310 cuentas de 410 instituciones diferentes. Las principales instituciones fueron PayPal (1.770 cuentas), Poste Italiane (765), CapitalOne (314), E*Trade (304), y Chase(217).
Y números de tarjetas de crédito:
Extrajimos 1.660 número únicos de tarjetas de crédito y débito de la información que recolectamos. Mediante la geoubicación de las direcciones IP, deducimos que el 49% de los números de tarjetas vienen de víctimas en los EEUU, 12% de Italia, y 8% de España, con otros 40 países que completan el balance. Las tarjetas más comunes incluyen a Visa (1.056), MasterCard(447), American Express(81), Maestro(36), y Discover (24).
Mientras que el 86% de las víctimas contribuyeron sólo con un número de tarjeta, otros ofrecieron varios más.
Resulta de particular interés el caso de una sola víctima a la cual se le extrajeron 30 números de tarjeta de crédito. Al examinarlo manualmente, descubrimos que la víctima era un agente, en su casa, de un centro de llamadas distribuido. Parece que los números de tarjetas era de aquellos clientes de la compañía para la cual trabajaba el agente, y que habían sido ingresados en la base de datos central del centro de llamadas para procesar órdenes (de compra).
El informe supone que la banda criminal tras Torpig obtuvo ganancias de entre u$s83.000 y u$s 8,3 millones durante el periodo de 10 días.
Para conocer más del secuestro de la botnet, vea La página del proyecto Torpig de Santa Barbara. Más en Slashdot y Threatpost.
Traducción exclusiva de Segu-info: Raúl Batista
Autor: Ryan Naraine
Fuente: Blogs ZDNet
Traducción by Raul Batista is licensed under a Creative Commons Atribución-No Comercial-Compartir Obras Derivadas Igual 2.5 Argentina License.
Categorías: botnet · delitos · exclusivo
Investigadores de seguridad, de la Universidad de California en Santa Bárbara, irrumpieron en el nervio central de la botnet Torpig (también conocido como Sinowal o Mebroot) para encontrarse el botín (obtenido en) de diez días con 10.000 cuentas de banco y números de tarjeta de crédito con valor de cientos de miles de dólares.
Durante el secuestro de la botnet, los investigadores explotaron una debilidad en la forma que los equipos zombies intentar localizar a sus servidores C&C (N.T.: Command and conquer, servidores de control) y hallaron una operación criminal oculta que recolectó 70GB de información robada en solo diez días.
El Torpig es un interesante caso de estudio por la sofisticada naturaleza de la operación y el informe [.pdf] es de lectura obligada para cualquiera que busque comprender las prácticas de una banda criminal de computación.
La botnet fue contruida utilizando un rootkit MBR (master boot record) que se ejecuta en el momento de inicio, antes que se cargue el sistema operativo. Una vez que se infecta la máquina, el malware recolecta y envia la información cada 20 minutos. La información robada incluye direcciones de correo electrónico, contraseñas de Windows, credenciales FTP y cuentass POP/SMTP.
Y, por supuesto, información financiera:
En diez días, Torpig obtuvo las credenciales de 8.310 cuentas de 410 instituciones diferentes. Las principales instituciones fueron PayPal (1.770 cuentas), Poste Italiane (765), CapitalOne (314), E*Trade (304), y Chase(217).
Y números de tarjetas de crédito:
Extrajimos 1.660 número únicos de tarjetas de crédito y débito de la información que recolectamos. Mediante la geoubicación de las direcciones IP, deducimos que el 49% de los números de tarjetas vienen de víctimas en los EEUU, 12% de Italia, y 8% de España, con otros 40 países que completan el balance. Las tarjetas más comunes incluyen a Visa (1.056), MasterCard(447), American Express(81), Maestro(36), y Discover (24).
Mientras que el 86% de las víctimas contribuyeron sólo con un número de tarjeta, otros ofrecieron varios más.
Resulta de particular interés el caso de una sola víctima a la cual se le extrajeron 30 números de tarjeta de crédito. Al examinarlo manualmente, descubrimos que la víctima era un agente, en su casa, de un centro de llamadas distribuido. Parece que los números de tarjetas era de aquellos clientes de la compañía para la cual trabajaba el agente, y que habían sido ingresados en la base de datos central del centro de llamadas para procesar órdenes (de compra).
El informe supone que la banda criminal tras Torpig obtuvo ganancias de entre u$s83.000 y u$s 8,3 millones durante el periodo de 10 días.
Para conocer más del secuestro de la botnet, vea La página del proyecto Torpig de Santa Barbara. Más en Slashdot y Threatpost.
Traducción exclusiva de Segu-info: Raúl Batista
Autor: Ryan Naraine
Fuente: Blogs ZDNet
Traducción by Raul Batista is licensed under a Creative Commons Atribución-No Comercial-Compartir Obras Derivadas Igual 2.5 Argentina License.
Categorías: botnet · delitos · exclusivo
Un estudio llevado a cabo por la compañía californiana Marshal8e6 en sus dependencias de investigación, TRACElabs, ha estudiado el comportamiento de un PC infectado de forma correlativa por los 9 bots que han creado las botnets más grandes del mundo. El estudio ha tenido en cuenta el comportamiento del PC así como la capacidad de mandar SPAM de cada infección.
Tal y como ha aclarado el analista senior de amenazas en TRACElabs, Phil Hay, uno de sus objetivos es ver el papel que tienen las redes botnet en el mundo del spam. El estudio ha concluido que Rustock y Xarvester, son los más prolíficos en cuanto a SPAM, pudiendo enviar hasta 25.000 emails por hora, lo que acaba con 600.000 emails por día y 4,2 millones por semana.
Según TRACElabs, Rustock fue el responsable del 26 % de todo el SPAM generado en el primer trimestre de 2009, Mega-D y Pushdo le siguen con un 22 % y 18% respectivamente, dejando el cuarto lugar para el también prolífico y mencionado anteriormente Xarvester con un 8 % del SPAM generado globalmente desde enero hasta finales de marzo.
El año pasado, antes de la desarticulación de los servidores de McColo, desde donde trabajaban numerosos bots, Stewart de SecureWorks afirmó que Srizbi y toda su red eran capaces de enviar 60.000 millones de emails de SPAM por día.
Autor: Jesus Maturana
Fuente: theinquirer.es
Categorías: Spam · botnet
La empresa Finjan ha descubierto una red zombi compuesta por 1,9 millones de ordenadores de todo el mundo. Entre sus víctimas se encuentran grandes empresas, universidades y gobiernos de todo el mundo.
La red opera desde servidores ucranianos y ha estado activa desde febrero de este año. Se cree que seis individuos son los responsables de ponerla en funcionamiento.
Se han detectado ordenadores comprometidos en 77 dominios .gov, pertenecientes a agencias gubernamentales de todo el mundo. Todavía no se han revelado los nombres de las empresas y organizaciones afectadas.
Los cibercriminales controlan las máquinas de forma remota y tienen acceso a datos privados. Los delincuentes, que todavía no han sido arrestados, aprovechan vulnerabilidades conocidas de los buscadores de Internet Firefox e Internet Explorer para irrumpir en los equipos de sus víctimas.
Después instalan programas nocivos que les permiten descargar más programas en sus ordenadores y tomar el control de los equipos de los usuarios.
Entre otras cosas, los delincuentes pueden leer los correos electrónicos de sus víctimas, copiar los archivos de sus equipos, registrar las teclas que presionan y capturar imágenes de la pantalla del usuario para registrar su actividad.
Los delincuentes a cargo de la red pueden prestar sus servicios a los spammers para enviar mensajes masivos o utilizarla ellos mismos para robar datos de los equipos comprometidos.
Casi la mitad de los ordenadores infectados, el 45%, están localizados en los Estados Unidos. En segundo lugar se encuentra el Reino Unido: un 6% de la red está compuesta por ordenadores de esta región.
Finjan afirma que ha contactado a las entidades afectadas para alertarlas sobre el problema. Asimismo, las autoridades estadounidenses y británicas están investigando el caso.
Fuente: Viruslist.com
Categorías: botnet
La multiplicación del troyano ‘Pirate’ para los sistemas MacOS X ha dado lugar a la formación de un botnet, según los investigadores.
El troyano ‘Pirate’ apareció por primera vez en enero, asociado a copias pirateadas del Mac OS. Cuando lo descubrieron, los investigadores notaron que en la carga del malware se incluían herramientas que podrían permitir a un atacante tomar el control de forma remota de un sistema infectado. Ahora parece que estos componentes se están empezando a utilizar.
Recientemente los dos investigadores de Symantec anunciaron que los sistemas infectados por el troyano se estaban utilizando en, al menos, un ataque de denegación de servicio. Otros usuarios también han informado de que sus sistemas están mostrando más actividad de la normal causada por el malware.
La noticia de este botnet, software que se ejecuta de manera autónoma y que permite a su artífice controlar los ordenadores infectados de forma remota, marca lo que los expertos han advertido que es una pequeña pero creciente creación de malware enfocado a sistemas OS X.
Las empresas de seguridad han recomendado a los usuarios de Mac que eviten instalar copias de software piratas y que instalen un programa antivirus para impedir la infección.
Autor: Rosalía Arroyo
Fuente: Vnunet.es
Categorías: botnet · malware
A comienzo de marzo la controversial compra de una botnet por parte de la BBC y la modificación de equipos infectados en nombre del “interés público” suscitó muchos debates a favor y en contra de esto. Condenado por ciertas empresas proveedoras de seguridad, y naturalmente, al menos desde la perspectiva de guerrilla de relaciones públicas, aplaudidos y alentados como una táctica emergente de concientización por otros, la discusión paso de lo técnico hacia un debate moral y legal, dejando una simple pregunta sin respuesta – ¿cuál es el nombre de la botnet que alquiló la BBC y que tiene de particular?
Demos un vistazo dentro de la “Botnet Quimera” de la BBC ofrecida en alquiler por un proveedor ruso de Cibercrimen-como-un-Servicio (CaaS).
Mientras miraba el programa Click de la BBC, quedé sorprendido por el hecho de que el servidor de la botnet parecía ser uno nuevo, presumiblemente liberado en las ultimas semanas. Escarbando un poco más resultó ser el caso de un proveedor de botnet administrada que estaba comenzando su lanzamiento público a comienzos de año. Además, al estar involucrado en elaborar perfiles, obtener y analizar plataformas emergentes de explotación, uno aprende que el genio para hacer inteligencia de las ciber-amenazas se basa en investigar sin contribuir mediante ninguna compra al ecosistema ciber-criminal de ninguno de los productos liberados – que es justo como fue llevado a cabo este análisis.
La botnet Quimera es cortesía de un proveedor ruso que desarrolla aplicaciones web y sistemas de base para botnets, con énfasis en programación de malware para alquilar. Algunos de sus desarrollos más notables (públicos) incluyen modificaciones de aumento de performance dentro del kit de crimeware (software para cometer crímenes) Zeus, la introducción de un tema de tarjetas en el kit(ahora una parte inseparable de las nuevas versiones), y la integración de un reproductor de MP3 y radio online en el kit de crimeware. El servicio administrado ofrece dos versiones en un diseño de malware modular típico en este caso para realizar spamming y para lanzar ataques de denegación de servicio distribuidos (DDoS), con una interfaz para el backend basada exclusivamente en el entorno de JS extendido AJAX, con el malware en si compatible con Windows XP sp1/2/3, y Windows Vista en el cual los autores alegan que correrá como una aplicación autorizada.
¿Cuánto pagó la BBC por acceder a la botnet administrada, y cuales son las posibilidades que los vendedores estén involucrados en un sinnúmero de actividades centrales del ciber-crímen?. De modo interesante, el sitio (ahora caido) web del proveedor no estaba ofreciendo exclusivamente los 20 mil equipos infectados que compró la BBC, dejando así la posibilidad de lo que pareciera una compra sobrevaluada. Sin embargo, se menciona un precio de $400 por un binario de malware administrado particular, con el tamaño de la botnet cambiando proporcionalmente con las campañas de malware del proveedor circulando por la red.
El “fiasco de la botnet” por completo pone en el centro de la atención al dinámico ecosistema del ciber-crímen con proveedores bien identificados trabajando unos con otros. En este caso particular, el proveedor de la botnet Quimera es parte de una red filial que ofrece servicios de “localización por demanda”, a saber: capacidad de potenciar a un ciber-criminal chino con la habilidad de traducir todas sus campañas de spam/malware/phising a un idioma de se elección, quebrando las barreras del idioma lo cual a menudo revela el origen real de la campaña.
La parte alarmante de tal “malware para alquilar” y los servicios de “botnets en alquiler” es su énfasis en la estandarización que resulta en eficiencias y las eficiencias en si en una escalabilidad efectiva en costo. Por ejemplo, siendo preguntado por un cliente si su plataforma podría manejar más de 50 mil equipos infectados antes de pedir una interfaz a la medida del cliente, el proveedor respondió que la última botnet grande que entregaron de 1,2 millones de máquinas estaba trabajando “muy bien”.
El proveedor de la botnet Quimera esta actualmente en modo encubierto, el monitoreo de sus próximas versiones continuará.
Traducción exclusiva de Segu-info: Raúl Batista
Autor: Dancho Danchev
Fuente: Blogs ZDNet
Categorías: botnet · exclusivo
