MCAFEE Labs desmantela Beebone, el botnet polimórfico

Portada_intel.jpg

Raj Samani & Vincent Weafer

El pasado 8 de abril, McAfee Labs de Intel Security tuvo un papel importante en la Fuente de Operación, bajo una colaboración global para la aplicación de la ley que desmanteló con éxito el botnet polimórfico conocido como Beebone. Propagando el virus del programa de descarga conocido como W32/Worm-AAEH, Beebone facilitó la descarga de una variedad de malwares, incluyendo ZBotbanking, un ladrón de claves, Necurs y ZeroAccessrootkits, CutwailSpambots, un anti-virus falso y ransomware. W32/Worm-AAEH incluye una funcionalidad que se parece a la acción de un virus y que se propaga rápidamente a nuevas máquinas y tiene una rutina de actualización cíclica para reemplazarse por versiones más recientes y así mejorar las probabilidades de seguir indetectable por un software de anti-virus. Durante su auge en julio/agosto del 2014, éste se llegó a actualizar más de 35 veces al día.

Intel Security sabe que existen más de 5 millones de muestras de AAEH, distribuidos principalmente en EEUU, Japón, India, Taiwán, Alemania y el Reino Unido.

En uno de sus peaks operacionales en septie07026724-photo-intel-securitymbre del 2014, fueron detectadas más de 100.000 infecciones del Botnet Beebone por el equipo de McAfee Labs. En el último registro de infección, en marzo de 2015,  McAfee Labs detectó 12.000 infecciones latentes, como este número sólo incluía la telemetría de Intel Security, se sospecha que haya sido mucho mayor.

La operación fue liderada por el Grupo Especial de Acción Cibernética Conjunta (J-CAT), localizado en la sede de la Europol, una cooperación entre EC3, la mayoría de los Estados miembros de la UE y la policía internacional. Uniendo fuerzas, el J-CAT es una plataforma multilateral efectiva en la lucha contra los crímenes cibernéticos. El J-CAT trabaja junto con entidades públicas y privadas en un nivel muy operacional, para identificar y atenuar las peores amenazas cibernéticas en el mundo y arrestar a los responsables por ellas.

-intel_security_web_647338867El desmantelamiento de AAEH es el resultado de una operación conjunta entre una operación del J-CAT liderada por los holandeses e Intel Security, además de muchos otros socios operacionales. Uniendo habilidades de investigación y técnicas, así como compartiendo informaciones y experiencias, se llegó a la reciente destrucción del botnet.

Lógico que el desmantelamiento de la infraestructura de las comunicaciones es sólo una parte de la respuesta, con la reparación de los sistemas infectados siendo un paso importante en el desmantelamiento de un botnet.  Este proceso se hace espacialmente más difícil con los pasos evasivos dados por el botnet en lo que se refiere a la limpieza.  No solamente enfrentábamos varias actualizaciones del DGA (Algoritmo de Generación de Dominio), pero también el botnet bloqueaba activamente las conexiones de las páginas del fabricante de Anti-Virus (incluyendo la nuestra).

Es importante notar si los malwares les bloquean las conexiones a las empresas AV, estos sistemas infectados pueden tener dificultad en seguir links para la descarga de las herramientas de remoción.  Como resultado, el equipo en ShadowServer, cuyo soporte ha sido primordial para esta operación, creó una página donde estas herramientas pueden ser directamente descargadas desde https://www.aaeh.shadowserver.org

Usted siempre nos ve y nos oye en Intel Security discutir la importancia de las Asociaciones Público Privadas, más recientemente, con la nueva MoU entre nosotros y EC3.  Esta operación es una prueba más de que solamente una respuesta conjunta es capaz de disminuir la creciente amenaza cibernética.

 

jtraverso

jtraverso

Juan Pablo Traverso, Ingeniero Civil Industrial y MBE de la Universidad de Chile.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

scroll to top