Bootnets

La economía digital ha sido un motor para el crecimiento comercial y la calidad de vida. Ha producido mejoras en todo el mundo, creando empleos y oportunidades en todos los continentes. Según algunas estimaciones, puede ya representar el 20% del valor económico global.

El crecimiento de la economía digital se ve continuamente impulsado por los negocios y la adopción por parte del consumidor de tecnologías nuevas y emergentes.

Gestionar de forma segura las oportunidades presentadas por este impresionante crecimiento es el desafío y la responsabilidad de cada parte interesada en las Tecnologías de Información y de Comunicaciones (TIC).

En los últimos años, sin embargo, las botnets se han vuelto particularmente y cada vez más dañinas y costosas para la economía digital. Son capaces de propagar malware, realizan ataques de denegación de servicio, y se propagan provocando desinformación en las redes sociales.

Una sola botnet ahora puede incluir más de 30 millones de «zombies» y permiten que los actores maliciosos obtengan grandes cantidades de dinero al mes. Hoy en día, los sistemas son más vulnerables que nunca, debido al tremendo y prometedor crecimiento de la economía digital en sí misma, particularmente con respecto al despliegue rápido de miles de millones de dispositivos de Internet de las cosas (IoT).

Los beneficios de esta economía conectada están revolucionando las empresas y las actividades de consumo. Y las compañías están innovando en nuevas medidas de seguridad para implementar en sus dispositivos.

Sin embargo, los dispositivos inseguros continúan llegando al mercado sin sistemas diseñados para asegurarlos. Además, ahora es posible para ciberdelincuentes no muy expertos alquilar una poderosa botnet para realizar actividades nefastas a gran escala.

Vamos a ver aquí qué son las botnets, cómo detectarlas y protegernos de ellas.

¿Qué es una botnet?

Una botnet es un conjunto de dispositivos conectados a Internet comprometidos por un atacante.

Las botnets funcionan como un multiplicador de fuerza para grupos de ciberdelincuentes, atacantes individuales y estados que tienen como objetivo suspender o acceder a los sistemas de sus víctimas. Se usan normalmente en ataques de denegación de servicio distribuida (DDoS), pero también es posible aprovechar la capacidad de cómputo colectivo de las botnets para enviar enormes cantidades de correo no deseado, robar credenciales o espiar a personas y organizaciones.

Los ciberatacantes crean botnets para infectar dispositivos conectados con malware para después administrarlos utilizando un servidor de comando y control. En el momento en que se ha comprometido un dispositivo conectado a una red por el atacante, todos los dispositivos vulnerables conectados a esa red están en peligro de ser infectados.

Un ataque de botnet puede tener efectos catastróficos.

La botnet Mirai obstaculizó gran parte de Internet en 2016, incluidos Twitter, Netflix y CNN, también los más importantes bancos rusos y todo el país de Liberia.

Esta botnet utilizó dispositivos inseguros de Internet de las cosas como cámaras de seguridad para instalar malware que luego atacó a los servidores DYN que enrutan el tráfico de Internet.

Cómo se crea una botnet

A diferencia de otras amenazas, el crypto-ransomware no es sutil ni está oculto. En cambio, muestra de manera prominente mensajes espeluznantes para llamar la atención sobre sí mismo, y explícitamente utiliza el shock y el miedo para presionarte para que pagues el rescate.

Unos pocos llamados crypto-ransomware no realizan el cifrado en absoluto, y solo usan la amenaza de hacerlo para extraer dinero. Sin embargo, en la mayoría de los casos, la amenaza se lleva a cabo.

Un dispositivo solo se puede conectar involuntariamente a una red de bots si un atacante puede acceder a él; primero, plantar el bot y luego emitir comandos. Prácticamente, esto significa un dispositivo que está conectado a Internet.

Los ordenadores de escritorio han sido tradicionalmente el tipo de dispositivo más común destinado al secuestro de botnets. Sin embargo, en los últimos años, a medida que otros tipos de dispositivos se han conectado a Internet, hemos visto botnets creadas a partir de dispositivos como:

  • Cámaras IP (botnet Persirai)
  • Enrutadores ( botnet Mirai )
  • Servidores Linux (botnet Ebury)
  • Dispositivos móviles Android (botnet WireX)

Los atacantes pueden plantar programas de bot en un dispositivo de muchas maneras.

Un método común es usar un kit de exploits alojado en un sitio web para sondear el dispositivo de cada visitante del sitio en busca de una falla explotable. Si se encuentra uno, el kit descarga e instala silenciosamente el bot.

Otras formas populares incluyen distribuir el bot como un archivo adjunto a correos electrónicos no deseados, o como parte de la carga útil de otro programa dañino.

Los dispositivos que han sido infectados por un bot a veces se llaman bots, o más raramente, zombies .

Al mando de los bots

Una vez que se instala el programa bot, generalmente intentará contactar un sitio web o servidor remoto donde pueda recuperar las instrucciones. Este sitio o servidor se conoce como servidor de comando y control o C&C .

El atacante que controla la botnet a través de su servidor C&C puede ser llamado molestador , botmaster , operador o controlador. Puede ser la persona responsable de establecer y mantener la propia botnet, o simplemente otra parte que está alquilando el control de la botnet por un tiempo.

El operador de la botnet utiliza un programa cliente para enviar instrucciones a los dispositivos infectados. Los comandos se pueden emitir a una sola máquina o a todos los dispositivos en botnet.

Dependiendo de cuán sofisticado sea el programa bot, el dispositivo se puede usar para:

  • Enviar correos electrónicos o archivos
  • Recopilar y reenviar datos
  • Supervisar las acciones del usuario.
  • Sondear otros dispositivos conectados
  • Descarga y ejecuta otros programas

¿Qué pueden hacer los atacantes?

Las botnets pueden afectar a los usuarios tanto directa como indirectamente.

El impacto más directo es que una máquina infectada ya no está bajo el control del usuario legítimo. La mayoría de las personas hoy en día almacenan contenido altamente sensible (como detalles financieros o legales) en sus dispositivos personales. Dicha información se vuelve vulnerable una vez que el dispositivo está infectado.

Si el dispositivo pertenece a una empresa u organización gubernamental, perder el control del mismo puede poner en riesgo funciones comerciales críticas o servicios sociales.

Más indirectamente, sus controladores pueden usar botnets para llevar a cabo otras acciones dañinas, como:

  • Lanzar ataques de denegación de servicio distribuida (DDoS) en sitios web o servicios rivales
  • Distribuir correos electrónicos no deseados o malware
  • Minería de monedas digitales

A menos que tengan medidas defensivas apropiadas, los objetivos de los ataques DDoS o los destinatarios de correo no deseado pueden sufrir interrupciones significativas en sus operaciones comerciales normales.

Los operadores de botnets también pueden ejecutarlos como una operación comercial, ofreciendo los recursos colectivos de ‘su’ botnet a otras partes como un servicio. Esto permite que otros delincuentes realicen actividades nefastas sin ser detectados.

El potencial de una botnet para causar caos aumenta con el tamaño, ya que tener más máquinas en la botnet les da a los atacantes más recursos para sus actividades.

Las botnets solían ser bastante pequeñas, con solo unos pocos cientos de máquinas infectadas. Sin embargo, en los últimos 10 años, se ha vuelto común ver cientos de miles de dispositivos bajo el control de una única red de bots.

El crecimiento en el tamaño de las botnets a menudo se ha atribuido a la explosión de usuarios de Internet en los últimos 15 años, a medida que más y más países en desarrollo se vuelven cada vez más abiertos a Internet.

Estructura

La estructura de la red de bots generalmente toma una de dos formas.

Modelo cliente-servidor

En la estructura botnet cliente-servidor, se establece una red básica con un servidor que actúa como botmaster.

El botmaster controla la transmisión de información de cada cliente para establecer el comando y el control (C&C) de los dispositivos del cliente.

El modelo cliente-servidor funciona con la ayuda de un software especial y permite que el botmaster mantenga el control. Este modelo tiene algunos inconvenientes, ya que puede ubicarse fácilmente y solo tiene un punto de control.

En este modelo, si el servidor se destruye, la botnet perece.

De igual a igual (Peer to Peer)

Para superar el inconveniente de confiar en un servidor centralizado, las botnets han evolucionado.

Las nuevas redes de bots están interconectadas en forma de estructura de igual a igual.

En el modelo de botnet P2P, cada dispositivo conectado funciona de forma independiente como cliente y servidor, coordinándose entre sí para actualizar y transmitir información entre ellos. La estructura de botnet P2P es más fuerte debido a la ausencia de un único control centralizado.

Ejemplos

Estas son solo algunas de las botnets activas conocidas.

Mirai

La botnet Mirai sigue funcionando. Fue una de las botnets más activas durante el segundo trimestre de 2018.

Se han incluido nuevas características a esta botnet, incluida la capacidad de convertir dispositivos infectados en enjambres de servidores proxy de malware y criptomineros. Además se incluyeron exploits orientados a vulnerabilidades conocidas y desconocidas.

La minería de criptomonedas supone una importante modificación en todo el universo de botnets. Hace posible que los atacantes utilicen el hardware y la electricidad del ordenador de la víctima para ganar criptomonedas.

Reaper (también conocido como IoTroop)

Se descubrió una nueva red de bots en el otoño de 2017 conocida como «IoTroop» y «Reaper», que compromete los dispositivos IoT a una velocidad mucho más rápida que Mirai. Tiene el potencial de destruir todo Internet una vez que los propietarios lo pongan a trabajar.

Los dispositivos infectados por Mirai eran los que utilizaban usuarios y contraseñas predeterminados.

Reaper va un paso más allá, dirigiéndose al menos a nueve vulnerabilidades distintas de varios fabricantes de dispositivos diferentes.

El código de botnet puede ser actualizado de forma más sencilla por los atacantes para que produzca mayores daños.

Echobot

Descubierto a principios de 2019, Echobot es una variante de Mirai que utiliza al menos 26 exploits para propagarse.

Al igual que muchas otras botnets, aprovecha los dispositivos IoT sin parches, pero también aprovecha las vulnerabilidades en aplicaciones empresariales como Oracle WebLogic y VMware SD-WAN.

Echobot fue descubierto por Palo Alto Networks, y su informe sobre la botnet concluye que es un esfuerzo formar botnets más grandes para ejecutar ataques DDoS más grandes.

Emotet, Gamut y Necurs

El objetivo principal de estas tres botnets es arrojar spam a un volumen alto para entregar una carga maliciosa o hacer que las víctimas realicen una determinada acción. Cada uno parece tener su propia especialidad: haz clic con precaución.

Emotet puede robar correos electrónicos de los buzones de las víctimas, lo que permite a los atacantes crear mensajes convincentes pero maliciosos para engañar a los destinatarios. Los atacantes también pueden usarlo para robar credenciales SMTP, útiles para hacerse cargo de las cuentas de correo electrónico.

Gamut parece especializarse en correos electrónicos no deseados que intentan establecer una relación con las víctimas. Esto puede ser en forma de citas o una oferta de trabajo falsa.

Necurs es conocido por entregar ransomware y otros ataques de extorsión digital. Aunque no ha recibido tanta atención recientemente desde que se descubrió en 2012, todavía es muy activo y peligroso.

Cómo detectar botnets

El primer paso obvio es usar un buen programa antivirus. También debes considerar el uso de programas antimalware especializados.

Desafortunadamente, programas como estos a menudo perderán el software de botnet, por lo que también hay otros síntomas que debes tener en cuenta.

Si el uso de la CPU y el tráfico de la red son extrañamente altos cuando el ordenador está inactivo, es una señal fundamental de que las cosas no están bien. Los ventiladores del ordenador giran hacia arriba y hacia abajo cuando está inactivo es otra señal potencial.

Si las direcciones DNS de tu ordenador se han cambiado en la configuración de tu red a algo que no sabes, es una gran señal de que tu ordenador se ha convertido en un zombi.

Estos no están definitivamente vinculados a las botnets. Pero si los síntomas desaparecen cuando desconectas la conexión de red, podría resultar ser una botnet.

Si ves ventanas emergentes de Internet extrañas para cosas en las que no has hecho clic, eso también es una bandera roja.

Los métodos de detección más avanzados implican el uso de herramientas de monitoreo de red. Puedes usar un programa como Wireshark para ver qué se envía desde tu máquina a la red. Estas son señales comunes en tu red de que una botnet está en marcha:

  • Tráfico IRC (Internet Relay Chat) cuando no lo estás utilizando (puerto 6667)
  • Conexión a direcciones de servidor conocidas como nodos de comando y control para botnets
  • Actividad en el puerto 25 y 1080

Derribos de botnet

Dado el amplio daño que pueden causar, no es sorprendente que las autoridades policiales y los Equipos de Respuesta a Emergencias Informáticas (CERT) dirigidos por el gobierno en muchos países trabajen activamente para cerrar botnets, así como para perseguir y enjuiciar a sus operadores.

A nivel internacional, quizás la forma más efectiva de neutralizar una botnet es encontrar y eliminar el servidor de C&C. Al hacerlo, se niega a los operadores de botnets el control directo de las máquinas esclavizadas.

Algunos de los derribos más notables en los últimos años incluyen:

  • avalancha
  • Dridex
  • Zeus

Sin embargo, los derribos globales son operaciones importantes que requieren una importante cooperación internacional.

Más inmediatamente, los usuarios y administradores pueden poner en cuarentena cualquier dispositivo infectado para que no esté en comunicación directa con el operador de la botnet y luego desinfectarlo.

Una vez que se han limpiado los dispositivos, se recomienda que los usuarios y administradores también evalúen y fortalezcan sus defensas, para evitar cualquier posibilidad de reinfección que pueda volver a conectar los dispositivos a la red de bots.

Cómo prevenir ataques de botnets

Las principales recomendaciones para evitar ser atacados por una red de botnets son las siguientes.

Actualización

Las botnets usan vulnerabilidades sin parches para propagarse de una máquina a otra para que puedan causar el máximo daño en una empresa.

La primera línea de defensa debe ser mantener todos los sistemas actualizados. Es recomendable que las empresas instalen actualizaciones tan pronto como estén disponibles, y las actualizaciones automáticas son preferibles.

Algunas empresas prefieren retrasar las actualizaciones hasta que hayan tenido tiempo de verificar la compatibilidad y otros problemas. Eso puede ocasionar retrasos significativos, mientras que algunos sistemas pueden olvidarse por completo y nunca llegar a la lista de actualizaciones.

No solo las aplicaciones y los sistemas operativos necesitan actualizaciones automáticas. Asegúrate de que tus dispositivos de hardware también estén configurados para actualizarse automáticamente.

Es posible que los productos heredados, tanto hardware como software, ya no se actualicen, y la guía anti-botnet recomienda que las empresas suspendan su uso. También es extremadamente improbable que los proveedores brinden soporte para productos pirateados.

Bloquear accesos

Es aconsejable que las empresas implementen autenticación multifactorial y basada en el riesgo, privilegios mínimos y otras mejores prácticas para los controles de acceso.

Una vez que han infectado un dispositivo, las botnets también se propagan aprovechando las credenciales. Al bloquear el acceso, las botnets se pueden quedar en un lugar, donde causan menos daño y son más fáciles de erradicar.

Uno de los pasos más efectivos que las empresas pueden tomar es usar claves físicas para la autenticación.

Google, por ejemplo, comenzó a exigir a todos sus empleados que usaran claves de seguridad física en 2017. Desde entonces, la cuenta de trabajo de ningún empleado ha sido robada, según la guía.

Desafortunadamente, muchas empresas no pueden permitirse eso. Además de los costes iniciales de la tecnología, los riesgos de que los empleados pierdan las llaves son altos.

La autenticación de segundo factor basada en teléfonos inteligentes ayuda a cerrar esa brecha. Esto es rentable y agrega una capa significativa de seguridad. Los atacantes tendrían que comprometer físicamente el teléfono de una persona. Es posible obtener la ejecución del código en el teléfono para interceptar un SMS, pero ese tipo de problemas son raros.

Busca ayuda externa

Se recomiendan varias áreas en las que las empresas pueden beneficiarse al buscar ayuda de socios externos.

Por ejemplo, hay muchos canales en los que las empresas pueden compartir información sobre amenazas, como CERT, grupos de la industria, actividades de intercambio de información del gobierno y la policía, y a través de plataformas patrocinadas por el proveedor.