Botnets y sus efectos: un breve repaso a alguna de las más destacadas

botnet_robots

Las botnets son responsables de una buena parte de las actividades criminales que se cometen en Internet, entre las que encontramos el envío masivo de spam y malware o los ataques de denegación de servicio distribuido (DDoS). A menudo vemos noticias que hablan de ellas, pero muchas de sus características siguen siendo desconocidas para el gran público.

De forma breve, podríamos definir una botnet como un conjunto de ordenadores infectados por un malware que les pone bajo el control de un atacante u organización criminal. La clasificación de las botnets no es sencilla, puesto que es difícil aplicar una métrica fiable, incluso si nos basamos en el número de ordenadores infectados o el volumen de spam enviado al día.

No obstante, han existido y existen botnets que han destacado por algún motivo y por eso las mencionamos a continuación:

Grum

Grum apareció en 2008, y en los cuatro años siguientes, hasta 2012, fue responsable de hasta el 26% de todo el tráfico de spam enviado en todo el mundo. Su especialidad era el spam de falsas farmacias online y en su punto más álgido en 2010 era capaz de enviar alrededor de cuarenta mil millones de correos electrónicos al día, lo que la convirtió en la botnet más grande de su tiempo. En 2012 aún era responsable del 18% del spam enviado en todo el mundo.

ZeroAccess

ZeroAccess es una de las botnets detectadas y desmanteladas más recientemente. Se calcula que estaba controlando un total de 1,9 millones de ordenadores en todo el mundo. Dividía sus actividades entre el fraude por clic (un proceso por el cual el malware genera falsos clics en webs y banners de publicidad, reportándoles beneficios a los delincuentes mediante esquemas de pago por clic) y la minería de bitcoins. Debido principalmente a este segundo punto se llegó a calcular que los ordenadores infectados consumían la misma energía que 111.000 hogares cada día.

Windigo

Cuando los investigadores de ESET pusieron el nombre de un monstruo canibal de la mitología de los indios Algoquin, ya nos imaginábamos que no iban a ser buenas noticias. La botnet Windigo fue descubierta el año pasado, cuando llevaba tres años funcionando. Durante este tiempo consiguió infectar 10.000 servidores Linux, lo que le permitió enviar 35 millones de correos spam al día dirigidos a medio millón de ordenadores.

Curiosamente, Windigo enviaba tres formas diferentes de códigos maliciosos dependiendo del sistema operativo: malware para Windows, publicidad sobre sitios de citas para usuarios de Mac OS X y contenido pornográfico para usuarios de iPhone. La amenaza de Windigo sigue activa aunque, ahora que ya es detectada, los administradores de sistemas pueden eliminarla de los ordenadores afectados reinstalando el sistema operativo con credenciales nuevas. Más del 60% de todos los servidores web utilizan Linux, convirtiendo esta amenaza en un riesgo potencial bastante elevado.

Storm

Los cálculos del tamaño de Storm variaban ampliamente entre 250.000 a 50 millones de ordenadores. Se detectó originalmente en 2007 y obtuvo su nombre de uno de sus primeros mensajes de spam “230 muertos en una tormenta que golpea a Europa”. Fue especialmente destacable por ser una de las primera botnets en hacer uso de las comunicaciones P2P (los ordenadores infectados no estaban siendo controlados desde un servidor central).

Fue conocida por realizar robos de identidad y varios tipos de fraude a los usuarios infectados. Además, si añadimos que varias partes de esa botnet eran alquiladas con frecuencia al mayor postor, se puede afirmar sin temor a equivocarnos que sus operaciones incluían todo tipo de actividades delictivas. Storm fue desactivada en 2008 pero en 2012 sus creadores seguían siendo desconocidos.

Cutwail

Esta botnet no destacaba por ser ni la más sofisticada ni la mas difícil de desmantelar. No obstante, Cutwail se gana su puesto en esta lista por sus números. Esta botnet llegó a controlar 2 millones de ordenadores en 2009, responsables de enviar 74 mil millones de mensajes de spam al día (equivalente a un millón de spams por minuto). Esto representaba el 46.5% de todo el spam mundial en ese momento. En 2010, investigadores de la Universidad de California, Santa Barbara y la Universidad de Ruhr en Bochum, Alemania, desactivaron dos tercios de los servidores de control de Cutwail.

Conficker

Este nombre le resultará familiar a cualquiera que sepa algo sobre virus informáticos. Conficker fue probablemente la amenaza más virulenta de los 2000, y creó botnets por donde pasaba. En su punto de mayor auge se calcula que habría infectado a 15 millones de ordenadores, pero el número total de sistemas bajo el control de esta botnet (entre todas las variantes de Conficker) se calcula que fue entre 3 y 4 millones, convirtiéndola en una de las botnets más grandes.

Srizbi

La botnet Srizbi solo estuvo activa alrededor de un año, pero en ese tiempo alcanzó un punto donde sus sistemas infectados eran responsables del envío del 60% del spam en todo el mundo (60 mil millones de emails cada día en 2007/2008). Cuando su servidor de alojamiento McColo fue cerrado, el volumen de spam en todo el mundo cayó un 75%.

Kraken

La botnet Kraken es una fuente de controversia cuando se trata de calcular su alcance y tamaño, principalmente debido al número de alias por la que se conocía, pero todo el mundo coincidía en que fue una de las más grandes. Se dice que consiguió infectar al 10% de las empresas en la lista Fortune 500, controlando alrededor de 500.000 bots. Cada uno de ellos era capaz de enviar 600.000 emails por día, lo que hacía un total de 300.000 millones de correos spam en todo el mundo.

Metulji y Mariposa

Estas dos botnets se mencionan juntas por su dependencia en lo que se conoció como el “framework Mariposa”, un kit de creación de botnets diseñado por un ciberdelincuente europeo. Ambas botnets consiguieron tener bajo su control más de 10 millones de sistemas cada una, convirtiéndolas en las que consiguieron un mayor número de víctimas.

No obstante, Mariposa tenía un error fatal y es que mantenía un registro de todo aquel que pagara por sus servicios, y cuando el FBI y agentes de la Interpol, en colaboración con empresas de seguridad como Panda Security, arrestaron a los operadores de Metulji en Eslovenia en 2011 también consiguieron acceso a los operadores de Mariposa. Se cree que Metulji fue usada para robar millones de dólares en credenciales de acceso, números de tarjetas de crédito y números de la seguridad social.

Recomendamos encarecidamente la lectura del post elaborado por los investigadores de Panda Security para conocer más a fondo la historia de la botnet Mariposa y cómo se consiguió detener, entre otras personas, a tres operarios españoles de esta botnet que llegaron a controlar millones de ordenadores infectados.

Créditos de la imagen: tecnomovida / Foter / CC BY-NC-SA

Josep Albors a partir de un post de Rob Waugh, We Live Security

El coste de los ciberataques y el malware en las empresas