Las botnets siguen siendo una de las amenazas más importantes en 2020, de acuerdo con las observaciones realizadas por el equipo de investigadores de ESET, observaciones que vienen respaldadas por informes como el que realizó Forrester a principios de año. Con muchos empleados trabajando desde casa durante buena parte de lo que llevamos de este año, muchas empresas son actualmente más vulnerables que nunca y eso es algo a tener muy presente cuando hablamos de ciberseguridad.
Actividad de las botnets
Hemos de tener en cuenta que la actividad de las botnets y sus operaciones pueden tener una sofisticación elevada, realizar toda una serie de actividades ilícitas como la recopilación de información tal como contraseñas almacenadas en los navegadores o credenciales de acceso a la banca online, e incluso capacidad para desplegar ransomware en los sistemas afectados.
Una de las botnets más activas durante los últimos años es Trickbot, la cual ha llegado a controlar un millón de dispositivos en todo el mundo desde 2016. A principios de este mes de octubre, ESET ayudó a tratar de desmantelar esta botnet en colaboración con Microsoft y otras empresas.
La primera detección de Trickbot realizada por ESET data de finales de 2016, y desde entonces se la ha reconocido como una de las familias de malware bancario más prevalentes en todo el mundo. Esta botnet ha tenido como objetivos a todo tipo de industrias y organizaciones, incluyendo el sector educativo, el inmobiliario y gubernamental, pero el sector más afectado parece ser el financiero. Con su capacidad para robar credenciales bancarias y realizar transacciones fraudulentas, Trickbot representa una amenaza para los datos financieros de cualquier compañía, así que las empresas deben estar preparadas para defenderse de ella.
Características de Trickbot
Trickbot es una botnet extremadamente versátil, con un diseño modular que le permite realizar toda una serie de acciones maliciosas utilizando para ello una variedad de complementos. ESET ha analizado alrededor de 30 complementos diferentes, de los cuales un tercio han resultado ser usados para el robo de información.
Uno de estos complementos, nombrado injectDll, utiliza anclajes en los servidores para robar credenciales desde páginas web de entidades bancarias, permitiendo así a los operadores de Trickbot realizar transferencias bancarias fraudulentas y robar dinero de usuarios y empresas. Otro de los complementos, conocido como pwgrab, se encarga de robar contraseñas de aplicaciones como Filezilla, Microsoft Outlook y WinSCP. Esto son solo dos ejemplos del daño que Trickbot puede causar en empresas una vez ha conseguido infectar sus sistemas.
Además del robo de credenciales de todo tipo, Trickbot es un prolífico distribuidor de ransomware, una de las peores amenazas a las que puede enfrentarse una empresa de cualquier tamaño actualmente. Por ese motivo, la operación para tratar de desmantelar esta botnet y desconectar infraestructuras clave para su continuidad ha sido tan importante e impide a los operadores de Trickbot que puedan desplegar ransomware tan fácilmente como hasta ahora.
Disminución de las detecciones
La telemetría de ESET nos permite mostrar como las detecciones de Trickbot disminuyeron tras la operación coordinada realizada para desmantelar esta botnet:
A pesar de que la amenaza que supone Trickbot parece haber disminuido por el momento, debemos permanecer vigilantes con respecto a otras botnets que siguen muy activas actualmente. Mientras se producía esta disrupción de Trickbot, las detecciones de Emotet por parte de la telemetría de ESET indicaron un aumento considerable de la actividad de esta botnet, descargando incluso Trickbot y Qbot como malware para el robo de información.
Esta campaña de Emotet, propagada mediante el envío masivo de mensajes maliciosos, ha estado afectando especialmente a usuarios de Grecia, Japón y Lituania, aunque España también se encuentra en esta lista en quinta posición.
Conclusión
Lidiar con una amenaza como esta puede parecer una tarea inabarcable, pero existen varias formas mediante las cuales las empresas pueden protegerse de las actividades maliciosas de una botnet. Antes de nada, resulta crucial proteger todos los equipos con una solución de seguridad que disponga de módulos de detección robustos, como ESET Endpoint Security. Las empresas también necesitan asegurarse de que sus redes disponen de las últimas actualizaciones de seguridad disponibles para que los atacantes no puedan aprovechar posibles vulnerabilidades.
Además, las conexiones a puertos remotos también representan un punto de entrada para posibles ataques, así que deben restringirse el máximo posible, especialmente cuando nos referimos a las conexiones realizadas mediante el protocolo de escritorio remoto (RDP). Siguiendo indicaciones como esta ayudaremos a mitigar los posibles ataques que los operadores de botnets como Trickbot o Emotet puedan realizar contra nuestras empresas.