Bootnets

La economía digital ha sido un motor para el crecimiento comercial y la calidad de vida. Ha producido mejoras en todo el mundo, creando empleos y oportunidades en todos los continentes. Según algunas estimaciones, puede ya representar el 20% del valor económico global.

El crecimiento de la economía digital se ve continuamente impulsado por los negocios y la adopción por parte del consumidor de tecnologías nuevas y emergentes.

Gestionar de forma segura las oportunidades presentadas por este impresionante crecimiento es el desafío y la responsabilidad de cada parte interesada en las Tecnologías de Información y de Comunicaciones (TIC).

En los últimos años, sin embargo, las botnets se han vuelto particularmente y cada vez más dañinas y costosas para la economía digital. Son capaces de propagar malware, realizan ataques de denegación de servicio, y se propagan provocando desinformación en las redes sociales.

Una sola botnet ahora puede incluir más de 30 millones de «zombies» y permiten que los actores maliciosos obtengan grandes cantidades de dinero al mes. Hoy en día, los sistemas son más vulnerables que nunca, debido al tremendo y prometedor crecimiento de la economía digital en sí misma, particularmente con respecto al despliegue rápido de miles de millones de dispositivos de Internet de las cosas (IoT).

Los beneficios de esta economía conectada están revolucionando las empresas y las actividades de consumo. Y las compañías están innovando en nuevas medidas de seguridad para implementar en sus dispositivos.

Sin embargo, los dispositivos inseguros continúan llegando al mercado sin sistemas diseñados para asegurarlos. Además, ahora es posible para ciberdelincuentes no muy expertos alquilar una poderosa botnet para realizar actividades nefastas a gran escala.

Vamos a ver aquí qué son las botnets, cómo detectarlas y protegernos de ellas.

¿Qué es una botnet?

Una botnet es un conjunto de dispositivos conectados a Internet comprometidos por un atacante.

Las botnets funcionan como un multiplicador de fuerza para grupos de ciberdelincuentes, atacantes individuales y estados que tienen como objetivo suspender o acceder a los sistemas de sus víctimas. Se usan normalmente en ataques de denegación de servicio distribuida (DDoS), pero también es posible aprovechar la capacidad de cómputo colectivo de las botnets para enviar enormes cantidades de correo no deseado, robar credenciales o espiar a personas y organizaciones.

Los ciberatacantes crean botnets para infectar dispositivos conectados con malware para después administrarlos utilizando un servidor de comando y control. En el momento en que se ha comprometido un dispositivo conectado a una red por el atacante, todos los dispositivos vulnerables conectados a esa red están en peligro de ser infectados.

Un ataque de botnet puede tener efectos catastróficos.

La botnet Mirai obstaculizó gran parte de Internet en 2016, incluidos Twitter, Netflix y CNN, también los más importantes bancos rusos y todo el país de Liberia.

Esta botnet utilizó dispositivos inseguros de Internet de las cosas como cámaras de seguridad para instalar malware que luego atacó a los servidores DYN que enrutan el tráfico de Internet.

Cómo se crea una botnet

A diferencia de otras amenazas, el crypto-ransomware no es sutil ni está oculto. En cambio, muestra de manera prominente mensajes espeluznantes para llamar la atención sobre sí mismo, y explícitamente utiliza el shock y el miedo para presionarte para que pagues el rescate.

Unos pocos llamados crypto-ransomware no realizan el cifrado en absoluto, y solo usan la amenaza de hacerlo para extraer dinero. Sin embargo, en la mayoría de los casos, la amenaza se lleva a cabo.

Un dispositivo solo se puede conectar involuntariamente a una red de bots si un atacante puede acceder a él; primero, plantar el bot y luego emitir comandos. Prácticamente, esto significa un dispositivo que está conectado a Internet.

Los ordenadores de escritorio han sido tradicionalmente el tipo de dispositivo más común destinado al secuestro de botnets. Sin embargo, en los últimos años, a medida que otros tipos de dispositivos se han conectado a Internet, hemos visto botnets creadas a partir de dispositivos como:

  • Cámaras IP (botnet Persirai)
  • Enrutadores ( botnet Mirai )
  • Servidores Linux (botnet Ebury)
  • Dispositivos móviles Android (botnet WireX)

Los atacantes pueden plantar programas de bot en un dispositivo de muchas maneras.

Un método común es usar un kit de exploits alojado en un sitio web para sondear el dispositivo de cada visitante del sitio en busca de una falla explotable. Si se encuentra uno, el kit descarga e instala silenciosamente el bot.

Otras formas populares incluyen distribuir el bot como un archivo adjunto a correos electrónicos no deseados, o como parte de la carga útil de otro programa dañino.

Los dispositivos que han sido infectados por un bot a veces se llaman bots, o más raramente, zombies .

Al mando de los bots

Una vez que se instala el programa bot, generalmente intentará contactar un sitio web o servidor remoto donde pueda recuperar las instrucciones. Este sitio o servidor se conoce como servidor de comando y control o C&C .

El atacante que controla la botnet a través de su servidor C&C puede ser llamado molestador , botmaster , operador o controlador. Puede ser la persona responsable de establecer y mantener la propia botnet, o simplemente otra parte que está alquilando el control de la botnet por un tiempo.

El operador de la botnet utiliza un programa cliente para enviar instrucciones a los dispositivos infectados. Los comandos se pueden emitir a una sola máquina o a todos los dispositivos en botnet.

Dependiendo de cuán sofisticado sea el programa bot, el dispositivo se puede usar para:

  • Enviar correos electrónicos o archivos
  • Recopilar y reenviar datos
  • Supervisar las acciones del usuario.
  • Sondear otros dispositivos conectados
  • Descarga y ejecuta otros programas

¿Qué pueden hacer los atacantes?

Las botnets pueden afectar a los usuarios tanto directa como indirectamente.

El impacto más directo es que una máquina infectada ya no está bajo el control del usuario legítimo. La mayoría de las personas hoy en día almacenan contenido altamente sensible (como detalles financieros o legales) en sus dispositivos personales. Dicha información se vuelve vulnerable una vez que el dispositivo está infectado.

Si el dispositivo pertenece a una empresa u organización gubernamental, perder el control del mismo puede poner en riesgo funciones comerciales críticas o servicios sociales.

Más indirectamente, sus controladores pueden usar botnets para llevar a cabo otras acciones dañinas, como:

  • Lanzar ataques de denegación de servicio distribuida (DDoS) en sitios web o servicios rivales
  • Distribuir correos electrónicos no deseados o malware
  • Minería de monedas digitales

A menos que tengan medidas defensivas apropiadas, los objetivos de los ataques DDoS o los destinatarios de correo no deseado pueden sufrir interrupciones significativas en sus operaciones comerciales normales.

Los operadores de botnets también pueden ejecutarlos como una operación comercial, ofreciendo los recursos colectivos de ‘su’ botnet a otras partes como un servicio. Esto permite que otros delincuentes realicen actividades nefastas sin ser detectados.

El potencial de una botnet para causar caos aumenta con el tamaño, ya que tener más máquinas en la botnet les da a los atacantes más recursos para sus actividades.

Las botnets solían ser bastante pequeñas, con solo unos pocos cientos de máquinas infectadas. Sin embargo, en los últimos 10 años, se ha vuelto común ver cientos de miles de dispositivos bajo el control de una única red de bots.

El crecimiento en el tamaño de las botnets a menudo se ha atribuido a la explosión de usuarios de Internet en los últimos 15 años, a medida que más y más países en desarrollo se vuelven cada vez más abiertos a Internet.

Estructura

La estructura de la red de bots generalmente toma una de dos formas.

Modelo cliente-servidor

En la estructura botnet cliente-servidor, se establece una red básica con un servidor que actúa como botmaster.

El botmaster controla la transmisión de información de cada cliente para establecer el comando y el control (C&C) de los dispositivos del cliente.

El modelo cliente-servidor funciona con la ayuda de un software especial y permite que el botmaster mantenga el control. Este modelo tiene algunos inconvenientes, ya que puede ubicarse fácilmente y solo tiene un punto de control.

En este modelo, si el servidor se destruye, la botnet perece.

De igual a igual (Peer to Peer)

Para superar el inconveniente de confiar en un servidor centralizado, las botnets han evolucionado.

Las nuevas redes de bots están interconectadas en forma de estructura de igual a igual.

En el modelo de botnet P2P, cada dispositivo conectado funciona de forma independiente como cliente y servidor, coordinándose entre sí para actualizar y transmitir información entre ellos. La estructura de botnet P2P es más fuerte debido a la ausencia de un único control centralizado.

Ejemplos

Estas son solo algunas de las botnets activas conocidas.

Mirai

La botnet Mirai sigue funcionando. Fue una de las botnets más activas durante el segundo trimestre de 2018.

Se han incluido nuevas características a esta botnet, incluida la capacidad de convertir dispositivos infectados en enjambres de servidores proxy de malware y criptomineros. Además se incluyeron exploits orientados a vulnerabilidades conocidas y desconocidas.

La minería de criptomonedas supone una importante modificación en todo el universo de botnets. Hace posible que los atacantes utilicen el hardware y la electricidad del ordenador de la víctima para ganar criptomonedas.

Reaper (también conocido como IoTroop)

Se descubrió una nueva red de bots en el otoño de 2017 conocida como «IoTroop» y «Reaper», que compromete los dispositivos IoT a una velocidad mucho más rápida que Mirai. Tiene el potencial de destruir todo Internet una vez que los propietarios lo pongan a trabajar.

Los dispositivos infectados por Mirai eran los que utilizaban usuarios y contraseñas predeterminados.

Reaper va un paso más allá, dirigiéndose al menos a nueve vulnerabilidades distintas de varios fabricantes de dispositivos diferentes.

El código de botnet puede ser actualizado de forma más sencilla por los atacantes para que produzca mayores daños.

Echobot

Descubierto a principios de 2019, Echobot es una variante de Mirai que utiliza al menos 26 exploits para propagarse.

Al igual que muchas otras botnets, aprovecha los dispositivos IoT sin parches, pero también aprovecha las vulnerabilidades en aplicaciones empresariales como Oracle WebLogic y VMware SD-WAN.

Echobot fue descubierto por Palo Alto Networks, y su informe sobre la botnet concluye que es un esfuerzo formar botnets más grandes para ejecutar ataques DDoS más grandes.

Emotet, Gamut y Necurs

El objetivo principal de estas tres botnets es arrojar spam a un volumen alto para entregar una carga maliciosa o hacer que las víctimas realicen una determinada acción. Cada uno parece tener su propia especialidad: haz clic con precaución.

Emotet puede robar correos electrónicos de los buzones de las víctimas, lo que permite a los atacantes crear mensajes convincentes pero maliciosos para engañar a los destinatarios. Los atacantes también pueden usarlo para robar credenciales SMTP, útiles para hacerse cargo de las cuentas de correo electrónico.

Gamut parece especializarse en correos electrónicos no deseados que intentan establecer una relación con las víctimas. Esto puede ser en forma de citas o una oferta de trabajo falsa.

Necurs es conocido por entregar ransomware y otros ataques de extorsión digital. Aunque no ha recibido tanta atención recientemente desde que se descubrió en 2012, todavía es muy activo y peligroso.

Cómo detectar botnets

El primer paso obvio es usar un buen programa antivirus. También debes considerar el uso de programas antimalware especializados.

Desafortunadamente, programas como estos a menudo perderán el software de botnet, por lo que también hay otros síntomas que debes tener en cuenta.

Si el uso de la CPU y el tráfico de la red son extrañamente altos cuando el ordenador está inactivo, es una señal fundamental de que las cosas no están bien. Los ventiladores del ordenador giran hacia arriba y hacia abajo cuando está inactivo es otra señal potencial.

Si las direcciones DNS de tu ordenador se han cambiado en la configuración de tu red a algo que no sabes, es una gran señal de que tu ordenador se ha convertido en un zombi.

Estos no están definitivamente vinculados a las botnets. Pero si los síntomas desaparecen cuando desconectas la conexión de red, podría resultar ser una botnet.

Si ves ventanas emergentes de Internet extrañas para cosas en las que no has hecho clic, eso también es una bandera roja.

Los métodos de detección más avanzados implican el uso de herramientas de monitoreo de red. Puedes usar un programa como Wireshark para ver qué se envía desde tu máquina a la red. Estas son señales comunes en tu red de que una botnet está en marcha:

  • Tráfico IRC (Internet Relay Chat) cuando no lo estás utilizando (puerto 6667)
  • Conexión a direcciones de servidor conocidas como nodos de comando y control para botnets
  • Actividad en el puerto 25 y 1080

Derribos de botnet

Dado el amplio daño que pueden causar, no es sorprendente que las autoridades policiales y los Equipos de Respuesta a Emergencias Informáticas (CERT) dirigidos por el gobierno en muchos países trabajen activamente para cerrar botnets, así como para perseguir y enjuiciar a sus operadores.

A nivel internacional, quizás la forma más efectiva de neutralizar una botnet es encontrar y eliminar el servidor de C&C. Al hacerlo, se niega a los operadores de botnets el control directo de las máquinas esclavizadas.

Algunos de los derribos más notables en los últimos años incluyen:

  • avalancha
  • Dridex
  • Zeus

Sin embargo, los derribos globales son operaciones importantes que requieren una importante cooperación internacional.

Más inmediatamente, los usuarios y administradores pueden poner en cuarentena cualquier dispositivo infectado para que no esté en comunicación directa con el operador de la botnet y luego desinfectarlo.

Una vez que se han limpiado los dispositivos, se recomienda que los usuarios y administradores también evalúen y fortalezcan sus defensas, para evitar cualquier posibilidad de reinfección que pueda volver a conectar los dispositivos a la red de bots.

Cómo prevenir ataques de botnets

Las principales recomendaciones para evitar ser atacados por una red de botnets son las siguientes.

Actualización

Las botnets usan vulnerabilidades sin parches para propagarse de una máquina a otra para que puedan causar el máximo daño en una empresa.

La primera línea de defensa debe ser mantener todos los sistemas actualizados. Es recomendable que las empresas instalen actualizaciones tan pronto como estén disponibles, y las actualizaciones automáticas son preferibles.

Algunas empresas prefieren retrasar las actualizaciones hasta que hayan tenido tiempo de verificar la compatibilidad y otros problemas. Eso puede ocasionar retrasos significativos, mientras que algunos sistemas pueden olvidarse por completo y nunca llegar a la lista de actualizaciones.

No solo las aplicaciones y los sistemas operativos necesitan actualizaciones automáticas. Asegúrate de que tus dispositivos de hardware también estén configurados para actualizarse automáticamente.

Es posible que los productos heredados, tanto hardware como software, ya no se actualicen, y la guía anti-botnet recomienda que las empresas suspendan su uso. También es extremadamente improbable que los proveedores brinden soporte para productos pirateados.

Bloquear accesos

Es aconsejable que las empresas implementen autenticación multifactorial y basada en el riesgo, privilegios mínimos y otras mejores prácticas para los controles de acceso.

Una vez que han infectado un dispositivo, las botnets también se propagan aprovechando las credenciales. Al bloquear el acceso, las botnets se pueden quedar en un lugar, donde causan menos daño y son más fáciles de erradicar.

Uno de los pasos más efectivos que las empresas pueden tomar es usar claves físicas para la autenticación.

Google, por ejemplo, comenzó a exigir a todos sus empleados que usaran claves de seguridad física en 2017. Desde entonces, la cuenta de trabajo de ningún empleado ha sido robada, según la guía.

Desafortunadamente, muchas empresas no pueden permitirse eso. Además de los costes iniciales de la tecnología, los riesgos de que los empleados pierdan las llaves son altos.

La autenticación de segundo factor basada en teléfonos inteligentes ayuda a cerrar esa brecha. Esto es rentable y agrega una capa significativa de seguridad. Los atacantes tendrían que comprometer físicamente el teléfono de una persona. Es posible obtener la ejecución del código en el teléfono para interceptar un SMS, pero ese tipo de problemas son raros.

Busca ayuda externa

Se recomiendan varias áreas en las que las empresas pueden beneficiarse al buscar ayuda de socios externos.

Por ejemplo, hay muchos canales en los que las empresas pueden compartir información sobre amenazas, como CERT, grupos de la industria, actividades de intercambio de información del gobierno y la policía, y a través de plataformas patrocinadas por el proveedor.

Estadísticas de botnets

Las redes de bots están de moda en 2022. Hemos explorado la web para encontrar algunas de las estadísticas más interesantes y relevantes sobre el uso de redes de bots y las formas preocupantes en que se utilizan.

Los ataques de botnet aumentaron un 23 % en un trimestre

La actualización de amenazas de botnet del cuarto trimestre de 2021 de Spamhaus informó un aumento del 23 % en los ataques de C&C (comando y control) de botnet de 2656 en el tercer trimestre de 2021 a 3271 en el cuarto trimestre de 2021.

Rusia tiene la proporción más significativa de C&C de Botnet

Rusia experimentó un aumento del 64 % en los C&C de botnets entre el segundo y el tercer trimestre de 2021. El tercer y cuarto trimestre vieron un aumento mucho más dramático con un aumento del 124 % en estos ataques.

El tipo de malware más utilizado fue el de los ladrones de credenciales

Los droppers de malware, un bot de malware que realiza una serie de actividades maliciosas como descargar y ejecutar malware adicional, participar en ataques DDoS y robar información de inicio de sesión, fue el bot de malware más alto registrado en el tercer trimestre de 2021.

Los ataques DDoS establecen un nuevo récord en la primera mitad de 2021

Un informe de inteligencia de amenazas del primer semestre de 2021 encontró que se lanzaron 5,4 millones de ataques DDoS en la primera mitad de 2021, lo que muestra un aumento interanual del 11 %. Los ataques DDoS generalmente se lanzan mediante botnets para saturar los servidores de un objetivo.

Los ataques de extorsión DDoS se dirigen a los ISP

También se informó de un aumento en los ciberdelincuentes que apuntan a los ISP en 2021 a través de la campaña de extorsión Lazarus DDoS, centrándose en servidores de dominio autorizados. Estos servidores DNS hacen coincidir las direcciones IP con los nombres de dominio y brindan detalles sobre dónde se pueden encontrar los sitios web para los servidores de nombres DNS recursivos.

Los ataques DDoS adaptativos aumentaron en 2021

En 2021, los atacantes desarrollaron estrategias de ataque DDoS adaptativas para evadir las técnicas de mitigación tradicionales. Los adversarios adaptan cada ataque para eludir varias capas de mitigación DDoS para ataques basados ​​en la nube y en las instalaciones.

El sector financiero es la industria más atacada por botnets

La Evaluación de amenazas cibernéticas de la ASEAN de Interpol 2020 midió cómo las botnets afectaron a diferentes organizaciones en función de su industria. El informe encontró que el sector financiero y sus clientes fueron los principales objetivos en 2019. Los atacantes tenían como objetivo obtener el control remoto de las computadoras de las víctimas para recopilar datos personales, como detalles bancarios, o para instalar y propagar otros tipos de malware.

Las botnets Gafgyt y Mirai IoT representan la mitad de todos los ataques DDoS

Los adversarios utilizan clústeres de botnet rastreados en todo el mundo para facilitar más de 2,8 millones de ataques DDoS. Las botnets Gafgyt y Mirai representaron más de la mitad de estos ataques. Las pandillas de ransomware agregaron tácticas DDoS de triple extorsión a su repertorio. Simultáneamente, la campaña de extorsión Fancy Lazarus DDoS se puso en marcha para amenazar a las organizaciones en múltiples industrias con un enfoque en los ISP y específicamente en sus servidores DNS autorizados.

Las redes en la región de América Latina albergaron los C&C de botnet más activos

La región de Latm alojó el 60 % de las listas de C&C de botnets activas en el cuarto trimestre de 2021.

Canadá tiene el registrador de dominios más abusado en general

Estados Unidos y China se ubicaron entre los tres lugares principales donde se abusa de la mayoría de los registradores de dominios, con 926 y 864 botnets respectivamente a fines de 2021. Mientras tanto, Canadá se apoderó del primer lugar con la mayor cantidad de botnets en general con 1115, reclamando más del 23%. del total de botnets identificados.

1 de cada 20 dispositivos IoT están protegidos por un firewall o un software similar

El informe Botnet 2020 de Enisa mostró que 7,7 millones de dispositivos IoT se conectan todos los días, y de estos, al menos uno de cada 20 está respaldado con protección de firewall o software similar.

El robo de credenciales va en aumento

Los hallazgos de Enisa mostraron que el 60% de la actividad de botnet está asociada con el robo de credenciales de usuario.

Se observaron 300 000 instancias de Emotet en 2019

Enisa encontró un aumento significativo en las notificaciones del tráfico de la botnet Emotet en 2019, 100,000 más que el año anterior. Al comparar la segunda mitad de 2018 y 2019, los investigadores creían que las botnets de Emotet aumentaron en un 91,3 %.

Las variantes de Mirai aumentaron significativamente en 2019

Hubo un aumento del 57 % en las variantes de botnet de Mirai identificadas en 2019. Las variantes de Mirai se usan normalmente para ataques de fuerza bruta en dispositivos IoT. Estos ataques aumentaron un 51 %, mientras que los exploits web aumentaron un 87 % en 2019.

La botnet Andromeda dominó en 2019

Aunque la botnet Andromeda se desmanteló en 2017, Interpol informa que fue la variante de botnet más dominante en la primera mitad de 2019, representando el 15% de todas las infecciones de botnet. Le siguieron de cerca Conficker, Necurs y Sality con un 14% cada uno respectivamente.

Gafgyt creció 3,9 veces en 2019

El Informe de tendencias de botnets de NSfocus mostró que Gafgyt todavía estaba muy activo en 2019. Hubo 3,9 veces más malware en comparación con el año anterior, y la cantidad promedio de servidores C&C aumentó en un 34,5%.