Los investigadores de Kaspersky Lab han publicado un informe sobre la actividad de botnets en la primera mitad de 2018, donde analizan más de 150 familias de malware y las modificaciones que circulan a través de 60.000 botnets en todo el mundo. Una de las cosas descubiertas destacadas en la investigación fue la creciente demanda internacional por malware multifuncional que no está diseñado para fines específicos, pero que es lo suficientemente flexible como para realizar casi cualquier tarea.
Las botnets, redes de dispositivos infectados que se utilizan en actividades delictivas, son aprovechadas por delincuentes para propagar malware y facilitar ataques DDoS y spam. Utilizando la tecnología Botnet Tracking (Seguimiento de botnets) de Kaspersky Lab, los investigadores de la compañía vigilan continuamente la actividad de las botnets para prevenir futuros ataques o para eliminar de raíz un nuevo tipo de troyano bancario. La tecnología funciona emulando un dispositivo infectado, atrapando así las órdenes recibidas de los agentes de amenazas que utilizan las botnets para distribuir malware. Esto les proporciona a los investigadores valiosas muestras y estadísticas del malware.
Según los resultados de investigaciones recientes, la proporción de malware de un solo propósito distribuido a través de botnets cayó significativamente durante la primera mitad de 2018 en comparación con la segunda mitad de 2017. Por ejemplo, durante la segunda mitad de 2017, el 22,46% de todos los archivos maliciosos únicos distribuidos a través de las botnets vigiladas por Kaspersky Lab correspondió a los troyanos bancarios, mientras que en la primera mitad de 2018, la participación de los troyanos bancarios disminuyó en 9,21 puntos porcentuales, hasta el 13,25% de todos los archivos maliciosos presenciados por el servicio de seguimiento de botnets.
La proporción de bots dedicados al spam –otro tipo de software malicioso de un solo propósito distribuido a través de botnets– también disminuyó considerablemente: del 18,93% en la segunda mitad de 2017 al 12,23% en la primera mitad de 2018. Las bots que trasmiten DDoS, otro típico malware de un solo propósito, también disminuyó, de 2,66% en la segunda mitad de 2017 a 1,99% en la primera mitad de 2018. Al mismo tiempo, el crecimiento más distintivo lo demostró el malware de naturaleza versátil, en particular el malware de herramienta de acceso remoto (RAT, por sus siglas en inglés) que brinda oportunidades casi ilimitadas para explotar la PC infectada. Desde el primer semestre de 2017, la proporción de archivos RAT observados en el malware distribuido por botnets casi se duplicó, pasando de 6,55% a 12,22%. Njrat, DarkComet y Nanocore encabezan la lista de las RAT más extendidas. Debido a su estructura relativamente simple, estas tres puertas traseras pueden ser modificadas incluso por un agente de amenazas aficionado. Esto permite que el malware se adapte para su distribución en una región específica. En términos de distribución geográfica de los servidores de control, la puerta trasera Njrat reclamó el premio “más internacional”, con centros de comando & control en 99 países, incluyendo Brasil, Colombia, Argentina, México, Perú, Chile y Venezuela.
Mapa de distribución geográfica de los centros de comando & control de Njrat, H2 2017 — H1 2018
Los troyanos, que también son utilizados para diversos fines, no demostraron tanto progreso como las RAT, pero, a diferencia de muchos programas maliciosos de un solo uso, su porcentaje de archivos detectados aumentó, al pasar del 32,89% en el segundo semestre de 2017 al 34,25% en el primer semestre de 2018. Al igual que las puertas traseras, una familia de troyanos puede ser modificada y controlada por una variedad de servidores de comando y control (C&C), cada uno de ellos con diferentes propósitos, por ejemplo, ciberespionaje o robo de credenciales. “La razón por la cual las RAT y otros programas maliciosos de varios propósitos están tomando la delantera cuando se trata de botnets es obvia: la propiedad de botnets cuesta una cantidad considerable de dinero y para obtener ganancias los delincuentes deberían poder aprovechar todas y cada una de las oportunidades para obtener dinero con el malware. Una botnet construida a partir de malware de varios propósitos puede cambiar sus funciones con relativa rapidez y pasar del envío de correo basura a DDoS o a la distribución de troyanos bancarios. Si bien esta capacidad en sí misma permite al propietario de la botnet cambiar entre diferentes modelos comerciales maliciosos ‘activos’, también abre una oportunidad para obtener ingresos pasivos, pues el propietario puede simplemente alquilar su botnet a otros delincuentes”, dijo Alexander Eremin, experto en seguridad de Kaspersky Lab. El único tipo de programas maliciosos de un solo propósito que mostró un crecimiento impresionante en las redes de bots fueron los mineros. Aunque el porcentaje de sus archivos registrados no es comparable con el popular malware multifuncional, su participación se multiplicó por dos y esto encaja en la tendencia general de un auge de los programas maliciosos para la minería, como lo presenciaron anteriormente nuestros expertos. Para reducir el riesgo de que sus dispositivos se conviertan en parte de una botnet, es recomendable que los usuarios:
-
Parcheen el software de su PC tan pronto como estén disponibles las actualizaciones de seguridad para las últimas vulnerabilidades descubiertas. Los dispositivos que estén sin parche pueden ser explotados por ciberdelincuentes y conectados a una botnet.
-
No baje software pirateado ni otro contenido ilegal, ya que a menudo se utilizan para distribuir bots maliciosas.
-
Use Kaspersky Internet Security para evitar que su computadora se infecte con cualquier tipo de malware, incluido aquellos utilizados para la creación de botnets.
Lea la versión completa del informe en: https://securelist.com/what-are-botnets-downloading/87658/