Duro golpe de Microsoft, el FBI, Europol y otros colaboradores a la botnet Sirefef

Siempre es una buena noticia enterarse que una de las redes de ordenadores zombi más importantes ha sufrido un duro golpe, algo que se está volviendo cada vez más común gracias a las operaciones llevadas a cabo por empresas como Microsoft y fuerzas de seguridad como el FBI o Europol. En esta ocasión ha sido Sirefef (también conocida como ZeroAccess) la botnet que se ha tratado de desmantelar hace unos días, algo que ha permitido a muchos de los usuarios infectados (aun sin saberlo) retomar el control de sus máquinas.

Se calcula que esta botnet controla alrededor de dos millones de máquinas en todo el mundo y los usuarios, infectados tras visitar una web maliciosa, ven como las búsquedas realizadas en Google, Bing o Yahoo se derivan a sitios potencialmente peligrosos y que muestran publicidad. Esto representa una cantidad aproximada, según Microsoft de 2.7 millones de dólares mensuales a los anunciantes que van a parar a los bolsillos de los ciberdelincuentes.

Según Microsoft, para realizar esta operación se necesitó la colaboración del FBI, Europol y otros socios de la industria, algo que permitió bloquear la comunicación entre los sistemas infectados y las 18 IPs utilizadas por los ciberdelincuentes. Asimismo, también se cerraron 49 dominios relacionados con esta botnet.

A pesar de esta operación a gran escala no hay que lanzar aun las campanas al vuelo. Sirefef es especialmente resistente a este tipo de ataques, ya que su estructura P2P permite a los ciberdelincuentes controlar la botnet desde miles de ordenadores diferentes. No obstante, esta operación tendrá un efecto inmediato en su efectividad debido a que se ha atacado directamente a su modelo de negocio por lo que los controladores de la botnet deberán dedicar tiempo a reconstruir la infraestructura que tenían antes de esta operación.

Esta ha sido la primera operación a gran escala del recientemente inaugurado Centro de lucha contra el Cibercrimen de Microsoft, un lugar donde los abogados de la empresa y expertos en seguridad informática utilizan tecnología de última generación para luchar contra el cibercrimen. Este centro coopera con policías de todo el mundo, empresas y organizaciones no gubernamentales para luchar contra el malware, ciberdelitos y los abusos a menores.

Con respecto a Sirefef, se trata de una botnet con cierta antigüedad, remontándose las primeras muestras de las que tenemos constancia a noviembre de 2009. Durante este tiempo ha ido evolucionando pasando por diferentes modelos de negocio: desde la instalación de falsos antivirus hasta la monetización a base del fraude por clic (generación fraudulenta de clics en anuncios mostrados en webs sin ninguna intención de interactuar con la web del anunciante).

En el siguiente gráfico observamos como Sirefef ha sido una de las amenazas más detectada por las soluciones de seguridad de ESET, ocupando siempre los primeros puestos en el ranking durante los últimos meses:

sirefef_stats

¿Y ahora que? Es probable que los ciberdelincuentes detrás de esta botnet traten de recuperar los sistemas infectados, algo que al parecer ya han intentado según las investigaciones realizadas por el reconocido periodista Brian Krebs. No obstante, todo apunta a que tendrán que cambiar su modelo de negocio si quieren seguir obteniendo beneficio de este malware y por lo que debemos estar alerta, actualizar nuestros antivirus, nuestros sitema y las aplicaciones que usamos para evitar infectarnos por una más que posible nueva variante.

Josep Albors

Microsoft lanza 11 boletines de seguridad en Diciembre