March 2, 2010 9:11 am

Medidas estrictas contra los Botnets

By

Este artículo fue publicado originalmente en inglés por Tim Cranton el 25 de febrero aquí

Los botnets–o redes de computadoras comprometidas que controlan hackers conocidos como “bot-herders”—se han convertido en un serio problema en el ciberespacio. Su proliferación ha hecho que algunos crean que el problema de los botnets no tiene solución. Bajo el control de un hacker o grupo de hackers, los botnets por lo general se usan para realizar varios ataques que van desde negación de servicio en sitios web, hasta correos electrónicos no deseados, fraude y distribución de nuevas formas de software malicioso.

En Microsoft, no aceptamos la idea de que los botnets son un hecho de la vida. Somos miembro fundador de BotnetTaskForce,  una asociación pública-privada que busca reunir a la industria y el gobierno en la lucha contra los bots. Dada la reciente proliferación de botnets, cada vez somos más creativos y agresivos en la lucha contra los botnets y todas las formas de crimen cibernético. Por esta razón me enorgullece anunciar que a través de acciones legales y cooperación técnica con socios de la industria, hemos podido derrotar a Waledac, un gran y reconocido “spambot”.  The Wall Street Journal tiene un artículo sobre el caso (se requiere suscripción a WSJ).

El concepto de un botnet puede ser difícil de digerir. La gráfica informativa a continuación explica cómo estos programas maliciosos funcionan al secuestrar miles de computadoras, por lo general sin el conocimiento de sus propietarios.

02-24Botnet

Un panorama general de cómo los maliciosos programas botnet funcionan al secuestrar miles de computadoras, por lo general sin el conocimiento de sus propietarios.
Dé clic aquí para ver versión de alta resolución.

La derrota del botnet Waledac que Microsoft llevó a cabo esta semana—conocido internamente como “Operation b49” – fue el resultado de meses de investigación y la aplicación innovadora de una estrategia legal comprobada y verdadera. Se estima que Waledac—uno de los 10 botnets más grandes de EU y un importante distribuidor de correo electrónico no deseado en todo el mundo—ha infectado cientos de miles de computadoras de todo el mundo y, previo a esta acción, se creía que tenía la capacidad de enviar más de 1.5 mil millones de correos electrónicos no deseados por día. En un reciente análisis, Microsoft encontró que entre el 3 y el 21 de diciembre de 2009, aproximadamente 651 millones de correos electrónicos no deseados—incluyendo ofertas y páginas falsas relacionadas con farmacias en línea, bienes de imitación, empleos, acciones de bajo precio y más—atribuibles a Waledac fueron dirigidos tan sólo a cuentas de Hotmail.

El 22 de febrero, en respuesta a la demanda presentada por Microsoft  (“Microsoft Corporation v. John Does 1-27, et. al.”, número de demanda civil 1:10CV156) en la Corte del Distrito de Virginia Oriental, EU, un juez federal otorgó una orden de restricción temporal que deshabilita 277 dominios de Internet, los cuales se cree son ejecutados por criminales como el bot Waledac.

Esta acción redujo de forma rápida y efectiva el tráfico a Waledac a nivel “.com” o registro de dominio, agravando la conexión entre el comando y los centros de control de botnet y la mayoría de sus miles de computadoras zombi en todo el mundo. Desde entonces, Microsoft ha tomado contramedidas adicionales para degradar gran parte del comando restante de igual a igual y de la comunicación de control dentro del botnet, y continuaremos trabajando con la comunidad de seguridad para mitigar y responder a este botnet.

clip_image001

Un mapa de las infecciones Waledac en todo el mundo en un periodo reciente de 18 días.
Dé clic aquí para ver versión de alta resolución.

A tres días de haberse completado este esfuerzo, Operation b49 ha deshabilitado de forma efectiva conexiones a la vasta mayoría de las computadoras infectadas con Waledac, y nuestro objetivo es hacer que esta interrupción sea permanente. Sin embargo, la operación no ha limpiado las computadoras infectadas y no es una poción mágica para deshacer el daño que creemos que Waledac ha ocasionado. A pesar de que los zombis ya están en gran medida fuera del control de los bot-herders, aún están infectados con el malware original. 

Para asegurarse de que su computadora no esté infectada con éste u otros botnets, le aconsejamos que siga los pasos “proteja su PC” disponibles en  

http://www.microsoft.com/latam/protect/default.mspx

La gente que usa máquinas con Windows también debe visitar el sitio web Microsoft Security, donde podrán encontrar la herramienta Malicious Software Removal Tool de Microsoft, la cual elimina Waledac. También recomendamos a los usuarios Windows que instalen y mantengan actualizados programas anti virus y anti spyware como Microsoft Security Essentials y que habiliten las actualizaciones automáticas y los firewalls. Por nuestra parte, continuaremos trabajando con nuestros socios de la industria y líderes gubernamentales para explorar posibilidades para alcanzar a los propietarios de computadoras en peligro para advertirles de la infección y eliminar el código malicioso de sus máquinas.

Esta operación legal y de la industria contra Waledac es la primera de su tipo, pero no será la última. Con esta acción, realizada en conjunto con expertos de Shadowserver, la Universidad de Washington, Symantec, la Universidad de Mannheim, la Universidad Técnica de Viena, International Secure Systems Lab, la Universidad de Bonn y otros, estamos generando un importante trabajo en toda la comunidad de seguridad mundial para combatir los botnets. Continúen al tanto.

Tim Cranton
Abogado General Asociado