Una década de malware: las mejores botnets de la década de 2010


botnet-world-map.png

Durante la última década, el campo de seguridad de la información (infosec) ha visto un aumento casi constante en la actividad de malware.

Sin lugar a dudas, la década de 2010 fue la década en que el malware explotó de un paisaje informal semi-ammateriush en una operación criminal en toda regla, capaz de generar cientos de millones de dólares por año para los actores involucrados.

Si bien hubo miles de cepas de malware que han estado activas en la década de 2010, algunas botnets de malware se han elevado por encima del resto en términos de propagación y tamaño, lo que se suma a lo que algunos investigadores de seguridad llamarían "super botnets".

Las cepas de malware como Necurs, Andromeda, Kelihos, Mirai o ZeroAccess se han hecho un nombre después de haber infectado millones de dispositivos en todo el mundo.

Este artículo tiene como objetivo resumir las botnets de malware más grandes que hemos visto en los últimos diez años. Dado que el seguimiento de las botnets nunca es una operación 100% precisa, vamos a enumerar las botnets en orden alfabético y mencionar su tamaño máximo, tal como se informaron en ese momento.


3ve

3ve es considerada la botnet de fraude de clics más avanzada jamás creada. Funcionó desde 2013 hasta 2018, cuando fue desmantelado por una acción policial internacional, con la ayuda de Google y la firma de seguridad cibernética White Ops.

La botnet se basó en una mezcla entre scripts maliciosos que se ejecutan en servidores alojados en centros de datos y módulos de fraude de clics cargados en computadoras infectadas con malware de terceros, como Methbot y Kovter.

Los operadores de 3ve también crearon sitios web falsos donde cargaron anuncios y luego usaron los bots para hacer clic en los anuncios y generar ganancias. En un momento, se cree que la red de bots se compone de más de 1.5 millones de computadoras domésticas y 1.900 servidores que hacen clic en anuncios cargados en más de 10,000 sitios web falsos.

Ver la cobertura anterior de ZDNet, Informe PDF de Google y White Opsy Publicación de blog de Google.


Andrómeda (Gamarue)

El malware Andromeda se vio por primera vez en la naturaleza en 2011, y es su botnet típica de "descargador de spam y malware", también conocido como esquema Malware-as-a-Service (MaaS).

Con este término, nos estamos refiriendo a un tipo de operación de malware donde los delincuentes son usuarios de spam masivo para infectarlos con la cepa de malware Andromeda (Gamarue). Luego, los delincuentes usan estos hosts infectados para enviar correo no deseado nuevo a otros usuarios y expandir o mantener viva la botnet, o descargan una cepa de malware de segunda etapa a instancias de otras pandillas de malware (de pago).

Las botnets MaaS que proporcionan "espacio de instalación" son algunos de los esquemas de ciberdelincuencia más lucrativos y los delincuentes pueden usar diferentes cepas de malware para configurar la infraestructura de back-end para tal operación.

Andromeda, es uno de estos tipos de cepas de malware, y ha sido muy popular a lo largo de los años. La razón de su éxito es porque el código fuente de Andromeda se filtró en línea, hace unos años, y ha permitido que varias bandas criminales establezcan su propia red de bots y prueben el "cibercrimen".

A lo largo de los años, las empresas de seguridad cibernética han rastreado a múltiples bandas criminales que operan una red de bots de Andrómeda. El más grande conocido hasta la fecha alcanzó dos millones de hosts infectados, y fue cerrado por Europol en diciembre de 2017.

Los lectores pueden encontrar una colección de informes infosec sobre el malware Andromeda en su página de Malpediamás éstey éste.


Bamital

Bamital es una red de bots de adware que funcionó entre 2009 y 2013. Fue retirada después de un esfuerzo conjunto de Microsoft y Symantec.

En los hosts infectados, el malware Bamital modificó los resultados de búsqueda para insertar enlaces y contenido personalizados, a menudo redirigiendo a los usuarios a sitios maliciosos que ofrecen descargas con malware.

Se cree que Bamital ha infectado más de 1.8 millones de computadoras.


Bashlita

Bashlite, también conocido bajo nombres como Gafgyt, Lizkebab, Qbot, Torlus y LizardStresser, es una variedad de malware diseñada para infectar enrutadores domésticos WiFi, dispositivos inteligentes y servidores Linux mal asegurados.

Su principal y único papel es llevar a cabo ataques DDoS.

El malware fue creado en 2014 por miembros de la Escuadrón Lagarto grupo de piratas informáticos, y su código se filtró en línea en 2015.

Debido a esta filtración, el malware a menudo se ha utilizado para alojar la mayoría de las botnets DDoS de la actualidad, y a menudo es la segunda variedad de malware de IoT más popular, detrás de Mirai. Cientos de variaciones de Bashlite existen actualmente.


Bredolab

Se cree que la botnet Bredolab ha infectado la friolera de 30 millones de computadoras con Windows entre 2009 y noviembre de 2010, la fecha de su desmantelamiento, cuando la policía holandesa confiscó más de 140 de sus servidores de comando y control.

La botnet fue construida por un autor armenio de malware, que utilizaba correos electrónicos no deseados y descargas automáticas para infectar a los usuarios con el malware Bredolab. Una vez infectadas, las computadoras de las víctimas se usarían para enviar cantidades masivas de spam.


Carna

La botnet Carna no es lo que llamarías "malware". Esta fue una botnet creada por un hacker anónimo con el propósito de realizar un censo de internet.

Infectó más de 420,000 enrutadores de Internet en 2012, y simplemente recopiló estadísticas sobre el uso de Internet directamente de los usuarios … y sin permiso.

Infectó a los enrutadores que no usaban una contraseña, o estaban protegidos con contraseñas predeterminadas o fáciles de adivinar, una táctica armada para ataques DDoS maliciosos cuatro años después por la botnet Mirai.

Puedes aprender más sobre Carna en la página de Wikipedia de la botnet o esto Episodio del podcast de Darknet Diaries.


Camaleón

Chameleon fue una red de bots de corta duración que funcionó en 2013. Es una de las raras redes de bots de fraude publicitario en esta lista.

Según los informes de la época, los autores de la botnet infectaron a más de 120,000 usuarios con el malware Chameleon. Este malware abriría una ventana de Internet Explorer en segundo plano y navegaría a una lista de 202 sitios, donde generaría impresiones de anuncios que ayudarían a los autores de la botnet a generar ingresos de hasta $ 6.2 millones por mes.

La botnet dejó de funcionar después de ser expulsada públicamente.


Coreflood

Coreflood es una de las amenazas olvidadas de Internet. Apareció en 2001 y se cerró en 2011.

Se cree que la red de bots ha infectado más de 2.3 millones de computadoras con Windows, con más de 800,000 bots en el momento en que fue retirada en junio de 2011.

Los operadores de Coreflood utilizaron sitios web con trampas para infectar las computadoras de los usuarios a través de una técnica llamada descarga automática. Una vez que una víctima se infectaba, usaban Coreflood para descargar otro malware más potente: Coreflood funcionaba como un "descargador / descargador de malware" típico ".

Para obtener una descripción de sus capacidades técnicas, consulte Análisis técnico de Coreflod de Symantec.


Dridex

Dridex es una de las botnets más infames de la actualidad. El malware Dridex y la botnet asociada han existido desde 2011, inicialmente conocidos como Cridex, antes de evolucionar hacia la cepa Dridex actual (a veces también conocida como Bugat).

El malware Dridex es principalmente un troyano bancario que roba credenciales bancarias y otorga a los piratas informáticos acceso a cuentas bancarias, pero también viene con un componente de robo de información.

El malware generalmente se distribuye a través de malspam (correos electrónicos con archivos adjuntos maliciosos). Ha habido varios informes de que el grupo que creó Dridex también ejecuta la red de bots de correo electrónico no deseado Necurs. Hay similitudes de código entre las dos cepas de malware, y el spam que propaga Dridex siempre se distribuye a través de la botnet de spam de Necurs.

Uno de los principales codificadores de Dridex fue arrestado en 2015, pero la botnet Dridex continuó funcionando y todavía está activa en la actualidad.

El tamaño de la botnet (número de computadoras infectadas con el malware Dridex) ha variado enormemente a lo largo de los años y entre los proveedores. los Dridex y TA505 Las páginas de Malpedia enumeran una fracción de los cientos de informes de Dridex, que muestran cuán inmensamente activa ha sido esta botnet en esta década.


Emotet

Emotet se vio por primera vez en la naturaleza en 2014. Inicialmente funcionó como un troyano bancario, pero se convirtió en un cuentagotas de malware para otras operaciones ciberdelincuentes en 2016 y 2017.

En la actualidad, Emotet es la operación MaaS líder en el mundo, y a menudo se usa para permitir el acceso de delincuentes a redes corporativas, donde los piratas informáticos pueden robar archivos propietarios o instalar ransomware para cifrar datos confidenciales y luego extorsionar a las empresas por grandes sumas de dinero.

El tamaño de la botnet varía de una semana a otra. Emotet también opera a través de tres "épocas" más pequeñas (mini-botnets), por lo que puede evitar la eliminación coordinada de la aplicación de la ley y probar varias acciones antes de un despliegue más amplio.

El malware Emotet también se conoce como Geodo y sus capacidades técnicas. han sido ampliamente documentados. La siguiente infografía ofrece una visión actualizada de las capacidades de Emotet, al momento de escribir, cortesía de Sophos Labs.

emotet-infographic.png "src =" https://zdnet3.cbsistatic.com/hub/i/2019/12/02/570df464-6efe-496b-a2ff-0c617dd074ea/6d45711978621a71398c1707f7069bd1/emotet-infographic.png

Imagen: Sophos


Festi

La botnet Festi fue construida con la ayuda del mismo nombre. Festi rootkit. La botnet estuvo activa entre 2009 y 2013, cuando la actividad de la botnet se extinguió lentamente por sí sola.

Durante su apogeo en 2011 y 2012, se cree que la red de bots ha infectado más de 250,000 computadoras y fue capaz de enviar más de 2.5 mil millones de correos electrónicos no deseados por día.

Además de sus capacidades de spam bien documentadas, la botnet también se usó para llevar a cabo ataques DDoS en raras ocasiones, siendo una de las raras botnets basadas en Windows que hicieron esto.

La botnet también se conocía como Topol-Mailer. Varias fuentes han identificado al programador ruso Igor Artimovich como el creador de la botnet (1, 2)


Gameover ZeuS

Gameover ZeuS es una red de bots de malware que funcionó entre 2010 y 2014, cuando su infraestructura era incautado por la policía internacional.

La botnet fue ensamblada infectando computadoras con Gameover ZeuS, un troyano bancario construido sobre el código fuente filtrado del troyano ZeuS. Se cree que Gameover ZeuS ha infectado hasta un millón de dispositivos.

Además de robar información bancaria de hosts infectados, la pandilla Gameover Zeus también ofreció acceso a hosts infectados a otros grupos de delitos informáticos, para que pudieran instalar su propio malware. La botnet Gameover ZeuS fue el principal distribuidor de CryptoLocker, una de las primeras cepas de ransomware que cifraron archivos, en lugar de bloquear el escritorio de un usuario.

El principal operador de la red de bots fue identificado como un hombre ruso llamado Evgeniy Mikhailovich Bogachev, todavía en libertad en Rusia. El FBI actualmente ofrece una recompensa de $ 3 millones por información que conduzca al arresto de Bogachev, la mayor recompensa que ofrece el FBI para cualquier hacker.


Familia Gozi

La familia de malware Gozi merece una mención en esta lista, principalmente debido al impacto que tuvo en la escena actual del malware, y no necesariamente por el tamaño de las botnets que se han creado (la mayoría de las cuales han sido muy pequeñas, pero persistentes a lo largo de los años).

El troyano bancario original de Gozi fue desarrollado en 2006 como un competidor directo del troyano ZeuS y su oferta Malware-as-a-Service.

Al igual que ZeuS, el código fuente de Gozi se filtró en línea (en 2010) e inmediatamente fue adoptado por otras pandillas ciberdelincuentes, que lo incorporaron y reutilizaron para crear numerosos otros troyanos bancarios que han estado asolando la escena del malware durante la última década.

Si bien ha habido decenas de cepas de malware basadas en Gozi, la más persistente de todas fue la Versión de Gozi ISFB, la variante Vawtrak (Neverquest) y la botnet GozNym — una combinación entre Gozi IFSB y Nymain.

Actualmente, Gozi se considera obsoleto, principalmente porque realmente no augura nada bueno con los navegadores y sistemas operativos modernos, y ha sido abandonado lentamente en los últimos años.


Grum

La botnet Grum funcionó entre 2008 y 2012 y se creó utilizando la cepa homónima de malware rootkit. En su apogeo, la botnet alcanzó un tamaño masivo de 840,000 computadoras infectadas, en su mayoría compuestas por sistemas Windows XP.

La botnet se cerró en 2012 después de un esfuerzo conjunto de Spamhaus, Group-IB y FireEye, aunque, para ese momento, el tamaño de la botnet se había reducido a unos escasos 20,000.

El propósito principal de Grum era usar computadoras infectadas para enviar decenas de millones de correos electrónicos no deseados por día, principalmente para productos farmacéuticos y sitios de citas.


Hajime

La botnet Hajime apareció en abril de 2017 y todavía está activa hoy. Es su botnet IoT clásica que infecta enrutadores y dispositivos inteligentes a través de vulnerabilidades sin parches y contraseñas débiles.

La botnet fue la primera botnet de IoT haber utilizado una estructura P2P (peer-to-peer) entre todas las botnets de IoT. Durante su apogeo, la botnet alcanzó un tamaño de 300,000 dispositivos infectados; sin embargo, no pudo mantener su masa por mucho tiempo, y otras botnets masticadas a los lados, y la red de bots ahora se ha reducido a un tamaño de alrededor de 90,000 dispositivos, en promedio.

Nunca se ha visto a la botnet participar en ataques DDoS, y se cree que los delincuentes la están utilizando para representar tráfico malicioso o llevar a cabo ataques de relleno de credenciales.


Kelihos (Waledac)

La botnet Kelihos, también conocida como Waleac, estuvo activa entre 2010 y abril de 2017, cuando las autoridades finalmente logró derribarlo en su cuarto intento, después de que fallaron en 2011, 2012y 2013.

La red de bots alcanzó un máximo de unos cientos de miles de bots, pero se había reducido a alrededor de 60,000 bots en el momento en que se desmontó.

En cuanto a su modus operandi, Kelihos fue su botnet de spam clásica, utilizando bots infectados para enviar campañas de spam por correo electrónico en nombre de varios estafadores u operaciones de malware.

El operador de botnets Kelihos fue arrestado en 2017 en España y extraditado a los EE. UU., Donde se declaró culpable el año pasado y ahora está a la espera de la sentencia.


Mirai

Desarrollado por estudiantes enojados. para que pudieran lanzar ataques DDoS contra sus servidores universitarios y de Minecraft, el malware Mirai se ha convertido en la variedad de malware de IoT más extendida en la actualidad.

El malware se diseñó para infectar enrutadores y dispositivos IoT inteligentes que usan credenciales de inicio de sesión de Telnet débiles o nulas. Los dispositivos infectados se ensamblan en una botnet diseñada específicamente para lanzar ataques DDoS.

La botnet fue operada de forma privada durante casi un año antes de que una serie de ataques DDoS llamaran demasiado la atención hacia sus operadores. En un intento por ocultar sus huellas, los autores lanzaron el código fuente de Mirai al público, con la esperanza de que otros establezcan sus propias botnets Mirai y eviten que las fuerzas del orden sigan su botnet original.

El plan no tuvo éxito, y el lanzamiento público del código empeoró las cosas muchas veces, ya que múltiples actores de amenazas obtuvieron acceso a una herramienta poderosa de forma gratuita. Desde entonces, las botnets basadas en Mirai han estado asolando los servidores de Internet con ataques DDoS a diario, con algunos informes que ponen el número de diferentes botnets Mirai activas en una sola vez a más de 100.

Desde el lanzamiento público de la fuente Mirai a fines de 2016, otros autores de malware han utilizado el código Mirai para crear sus propias variantes personalizadas, siendo las más conocidas Okiru, Satori, Akuma, Masuta, PureMasuta, Wicked, Sora, Owari, Omni y Mirai OMG.


Necurs

Necurs es una botnet de spam que se vio por primera vez circa 2012 y se cree que fue creado por el mismo equipo que dirige el troyano bancario Dridex (es decir, el TA505 personal).

El único propósito de la botnet es infectar computadoras con Windows y luego usarlas para enviar correos electrónicos no deseados. A lo largo de su vida útil, se ha visto que la botnet envía spam para todo tipo de esquemas:

– Viagra y spam farmacéutico
– milagro cura
– sitios de citas spam
– esquemas de bombeo y descarga de existencias / criptomonedas
– malspam que propaga otro malware, como el troyano bancario Dridex, el ransomware Locky o el ransomware Bart

La botnet alcanzó su punto máximo en 2016-2017, cuando se podía encontrar en alrededor de 6-7 millones de dispositivos mensualmente. La botnet todavía está viva hoy, pero no está tan activa como hace unos años. Aqui esta una breve lista de informes técnicos sobre la botnet Necurs y algunas de sus campañas.


Ramnit

Ramnit es otra botnet creada para controlar el troyano bancario del mismo nombre. Apareció en 2010 y se basó en el código fuente filtrado del antiguo troyano bancario ZeuS.

En su primera encarnación, la red de bots alcanzó un tamaño de 350,000 bots, lo que llamó la atención de los vendedores de ciberseguridad y las fuerzas del orden.

Las autoridades hundieron una primera versión en febrero de 2015, pero como no lograron arrestar a sus creadores, los operadores de Ramnit reaparecieron con una nueva botnet unos meses despues.

Ramnit es todavía activo hoy, pero ni mucho menos los números que tenía en su apogeo, en 2015.


retadup-infection-map.png "height =" auto "width =" 370 "src =" https://zdnet3.cbsistatic.com/hub/i/r/2019/08/27/6952dbeb-d243-42d5-b61b -041055f3c457 / resize / 370xauto / 46e5ece492a224a1e9df5f0e5007a962 / retadup-infection-map.png

Imagen: Avast

Retadup

El malware Retadup y su botnet se vieron por primera vez en 2017. Era un troyano básico para robar información que robaba varios tipos de datos de hosts infectados y enviaba la información a un servidor remoto.

El troyano Retadup pasó desapercibido la mayor parte de su vida hasta agosto de este año, cuando Avast y la policía francesa intervinieron para derribar la botnet e indicarle al malware que se eliminara automáticamente de todos los hosts infectados.

Fue solo entonces que las autoridades supieron que Retadup había sido una operación a gran escala, habiendo infectado más de 850,000 sistemas en todo el mundo, y principalmente en América Latina.


Smominru (Hexmen, MyKings)

Smominru, también rastreado bajo los nombres de MyKings o Hexmen, es la red de bots más grande de la actualidad dedicada exclusivamente a la minería de criptomonedas.

Lo hace tanto en servidores de escritorio como en servidores empresariales, a los que generalmente obtiene acceso mediante la explotación de sistemas sin parches.

La botnet apareció en 2017, cuando infectó más de 525,000 computadoras con Windows y extrajo más de $ 2.3 millones en Monero (XMR) para sus operadores, en sus primeros meses de vida.

A pesar de una caída en los precios de comercio de criptomonedas, la botnet todavía está activa hoy, infectando alrededor de 4,700 dispositivos nuevos cada día, según un informe publicado durante el verano.


TrickBot

TrickBot funciona de manera similar a Emotet. Es un ex troyano bancario que evolucionó a ser un cuentagotas de malware y adoptó un esquema de pago por instalación, y ahora está haciendo la mayor parte de su dinero instalando malware de otros grupos criminales en las computadoras que infectan.

La botnet apareció por primera vez en 2016, y sus versiones iniciales compartieron grandes fragmentos de código con el ya desaparecido troyano bancario Dyre. En ese momento, los investigadores de seguridad sugirieron restos de la pandilla original de Dyre creó TrickBot después Las autoridades rusas tomaron medidas enérgicas contra algunos de los miembros del grupo. a principios de ese año.

Sin embargo, TrickBot no funcionó como un troyano bancario por mucho tiempo. Poco a poco se convirtió en un gotero de malware para el verano de 2017, casi al mismo tiempo que Emotet también estaba haciendo su cambio.

Aunque no hay evidencia de que las dos botnets sean administradas por el mismo equipo, existe una colaboración entre los dos grupos. La pandilla TrickBot a menudo alquila acceso a computadoras que han sido infectadas previamente con Emotet, donde dejan caer su troyano, algo que la tripulación de Emotet ha tolerado, incluso si TrickBot es uno de sus principales competidores.

El tamaño de la botnet TrickBot ha variado a lo largo de los años, de 30,000 a 200,000, dependiendo de la fuente del informe y la visibilidad que tienen de la infraestructura del malware.


WireX

WireX es uno de los pocos casos felices en esta lista. Es una red de bots de malware que fue eliminada dentro de un mes de su inicio, después de que varias empresas de seguridad y redes de entrega de contenido se unieron para eliminar su infraestructura.

La botnet se creó con el malware Android WireX, que apareció de la nada en julio de 2017 para infectar a más de 120,000 teléfonos inteligentes en unas pocas semanas.

Si bien la mayoría del malware de Android hoy en día se usa para adware y fraude de clics, esta botnet era extremadamente ruidosa y se usaba para lanzar poderosos ataques DDoS.

Esto atrajo la atención inmediata de las empresas de seguridad y, en un esfuerzo coordinado, la infraestructura de back-end de la botnet y el malware fue eliminada a mediados de agosto del mismo año. Empresas como Akamai, Cloudflare, Flashpoint, Google, Oracle Dyn, RiskIQ, Team Cymru y algunas otras, participaron en la eliminación.


ZeroAccess

ZeroAccess es una botnet que se creó con el rootkit ZeroAccess. Los operadores de la botnet lo utilizaron para ganar dinero descargando otro malware en hosts infectados o realizando fraudes por clic en anuncios web.

La botnet se vio por primera vez en 2009 y se cerró en 2013 después de un operación de desmontaje coordinada por Microsoft.

De acuerdo con Sophos, la red de bots infectó más de 9 millones de sistemas Windows durante su vida útil, alcanzó un máximo de un millón de dispositivos infectados al mismo tiempo y ayudó a los operadores a ganar alrededor de $ 100,000 por día.

Puede encontrar una colección de informes técnicos de ZeroAccess en Malpedia. Esta Resumen de Symantec También es bastante completo.



Enlace a la noticia original