Botnets: una hoja de trucos para usuarios comerciales y administradores de seguridad


Casi cualquier cosa con conexión a Internet puede ser secuestrada y utilizada en un ataque de botnet malicioso; los dispositivos de IoT son objetivos especialmente populares. Obtenga información sobre cómo detectar y prevenir esta amenaza de malware.

<a href = "https://tr4.cbsistatic.com/hub/i/r/2020/09/04/d4a21ac9-513e-4fb0-a693-46fb83472c76/resize/770x/dfdede1c9ade7720bf608be8046f1ed1/istock-859640008.jpg" target = "_ blanco" componente de datos = "modalEnlargeImage" título de datos = "

"data-credit =" Imagen: BeeBright, Getty Images / iStockPhoto "rel =" noopener noreferrer nofollow ">Concepto de botnet

Imagen: BeeBright, Getty Images / iStockPhoto

Cuando una computadora o cualquier otro dispositivo está conectado a Internet, corre muchos riesgos de malware y piratas informáticos. A menudo asumimos que nuestros dispositivos personales son víctimas potenciales, y no que podrían ser componentes de ciberataques, pero pueden serlo si se convierten en un nodo de una botnet.

Las botnets se utilizan para hacer todo tipo de cosas maliciosas, como lanzar ataques distribuidos de denegación de servicio (DDoS), propagar malware y minar criptomonedas, todo sin que el propietario del dispositivo sepa que ha sido secuestrado.

Eso no significa que no haya señales de que un dispositivo conectado a Internet haya sido secuestrado, y las víctimas de la botnet no están más allá de su salvación. Sin embargo, es esencial actuar rápido: más allá de dar acceso a un atacante a la información personal en el dispositivo, los nodos de botnet pueden trabajar hasta el punto de sufrir daños físicos debido al sobrecalentamiento, dejando a sus propietarios atascados con la factura de reparación o reemplazo.

VER: Política de protección contra robo de identidad (TechRepublic Premium)

¿Qué es una botnet?

La definición de botnet es simple: un grupo de computadoras que actúan juntas para realizar una tarea compartida. Si esa definición parece ambigua, es porque lo es: las botnets no son maliciosas por definición.

Uno de los primeros usos de una botnet fue operar el chat de retransmisión de Internet (IRC), un uso completamente legítimo de las computadoras conectadas. IRC usó servidores y otras computadoras para retransmitir el chat de remitente a destinatario, y cada computadora en la red actuaba para transmitir datos.

Las botnets maliciosas modernas, por otro lado, generalmente se operan con propósitos nefastos, y las computadoras se convierten en nodos no al instalar un programa, sino al ser secuestradas directamente por piratas informáticos o mediante la instalación de malware.

VER: Ingeniería social: una hoja de trucos para profesionales de negocios (PDF gratuito) (TechRepublic)

Las botnets utilizan muchos protocolos diferentes para comunicarse: IRC, HTTP, Telnet, ToR e incluso los sitios de redes sociales se pueden usar para emitir comandos y evadir la detección.

En su forma más básica, las botnets no son tan diferentes de cualquier otro malware que recibe órdenes de un servidor de comando y control (C&C), excepto que en este caso el malware de botnet está menos preocupado por la información que puede recolectar de una computadora en particular, y más. con los recursos informáticos que puede extraer de una máquina infectada.

Tenga en cuenta que esto no significa que el malware de botnet no se utilizará para recopilar información de identificación personal (PII) sobre los propietarios de máquinas secuestradas: es completamente capaz de robar credenciales, información bancaria y otros detalles personales.

Las botnets tradicionales que utilizan el método C&C tienen una debilidad crítica: si su servidor C&C se desconecta, la botnet deja de funcionar. Es por esa razón que las botnets más sofisticadas se han convertido en peer-to-peer (P2P), lo que las hace efectivamente sin cabeza y mucho más difíciles de eliminar. Las botnets P2P distribuidas todavía sirven a un operador que introduce comandos en la red, pero esos comandos pueden provenir de cualquier lugar.

Las redes de bots como ZeroAccess utilizan el modelo P2P, y cualquier persona con la clave privada de la red puede implementar un comando en sus nodos. Para comunicarse, las máquinas infectadas buscan en Internet otros nodos que transfieren sus listas de máquinas infectadas conocidas, lo que hace que la botnet crezca increíblemente rápido.

Independientemente de cómo se controlen, las botnets suelen robar la PII de los propietarios de nodos como objetivo secundario. El enfoque en los recursos informáticos de una máquina infectada significa que las botnets no solo se dirigen a las computadoras: se dirigen a cualquier cosa con conexión a Internet. Los teléfonos inteligentes, los enrutadores, las impresoras y ahora los dispositivos de Internet de las cosas (IoT) son objetivos populares para el malware de botnet.

Los dispositivos de IoT en particular se están convirtiendo en un producto preferido para los administradores de botnets. El Internet de las cosas ha crecido a pasos agigantados en los últimos años, y no todo el hardware está protegido tan bien como debería.

El Internet de las cosas está diseñado por su propia naturaleza para ser invisible; los dispositivos que lo alimentan a menudo se colocan en áreas apartadas o pasan desapercibidos durante largos períodos de tiempo. La botnet Mirai de gran éxito es bien conocida por su Eliminación en 2016 del proveedor de DNS Dyn, lo que provocó interrupciones en sitios como Twitter, Amazon, Reddit y otros sitios de alto tráfico.

Mirai tuvo éxito en atacar dispositivos de IoT porque muchos se envían con nombres de usuario y contraseñas predeterminados que son bien conocidos, y muchas personas no los cambian cuando se implementan los dispositivos. Todo lo que un atacante tiene que hacer, como fue el caso de Mirai, es buscar dispositivos IoT, iniciar sesión con esas credenciales predeterminadas e instalar actualizaciones de firmware maliciosas que convierten el dispositivo en un zombi de botnet.

Las botnets generalmente se propagan a través de métodos similares: buscando dispositivos no seguros en los que se pueda iniciar sesión sin tener que atacar directamente el dispositivo. También se propagan tradicionalmente a las computadoras a través de malware, archivos adjuntos de correo electrónico maliciosos, aplicaciones de teléfonos inteligentes que contienen código malicioso y otros métodos comunes.

Recursos adicionales

¿Para qué se utilizan las botnets maliciosas?

Cuando un atacante tiene control sobre cientos de miles, o potencialmente millones, de dispositivos, puede hacer muchas cosas para enriquecerse y complicar la vida de los demás.

El uso más común de redes de bots maliciosas es lanzar ataques DDoS que derriban sitios web, proveedores de DNS y otros servicios de Internet. Los ataques DDoS se basan en cantidades masivas de tráfico que paralizan a un proveedor, lo que hace imposible que el tráfico legítimo lo alcance antes de desconectarlo.

VER: Todas las hojas de trucos de TechRepublic y las guías para personas inteligentes

Los ataques DDoS no son la única aplicación que tienen las botnets. También se utilizan comúnmente para:

  • Difundirse en redes sensibles, como las que pertenecen a empresas y gobiernos, para robar información valiosa,
  • Extraer de forma encubierta criptomonedas como Bitcoin, que pueden quemar un dispositivo y destruirlo.
  • Envíe correos electrónicos no deseados, a menudo con malware de instalación de botnets adjunto, enlaces a sitios maliciosos que recopilan PII o instalan malware adicional, o con la intención de cometer fraude.
  • Cometer fraude de clics, en el que se hace clic repetidamente en anuncios para generar ingresos,
  • Comete fraude publicitario, que es similar al fraude de clics, pero ocurre en sitios web con anuncios ocultos o sitios diseñados solo para alojar anuncios fraudulentos.

Además de estos usos, muchas botnets también están disponibles para alquilar a los ciberdelincuentes que buscan utilizarlas para sus propios fines. Con eso en mente, una botnet conocida por lanzar un tipo de ataque podría usarse para cualquiera de los propósitos anteriores, o cualquier otra cosa que un atacante emprendedor pueda imaginar.

Recursos adicionales

¿Cuáles son las señales de que un dispositivo está infectado por una botnet?

Al igual que otras variedades de malware, el tipo que convierte un dispositivo conectado a Internet en un nodo de botnet está diseñado para ser lo más imperceptible posible. Los usuarios que notan algo extraño en su computadora, teléfono inteligente o dispositivo de IoT pueden sospechar, y eso significa que la botnet podría perder un nodo valioso.

VER: 5 innovaciones de Internet de las cosas (IoT) (PDF gratuito) (TechRepublic)

Eso no significa que no se dejen rastros. Las botnets utilizan los recursos informáticos de otras personas para realizar sus tareas, lo que significa que las señales reveladoras son visibles si sabe qué buscar.

Una publicación de blog del fabricante de software antivirus ESET tiene una lista de 10 señales a las que debe estar atento si le preocupa que pueda tener malware de botnet en su computadora. Esta lista solo se aplica a PC y dispositivos macOS; los síntomas de malware en teléfonos inteligentes y dispositivos IoT pueden diferir y se analizarán a continuación.

¿Se activa el ventilador de su computadora mientras está inactiva?

Esto podría ser una señal de que su computadora está trabajando duro sin su conocimiento, pero nuevamente podría ser una señal de que se están descargando actualizaciones. Verifique su computadora para ver qué se está ejecutando, y si no puede encontrar las actualizaciones que se están descargando y su ventilador está limpio, es hora de buscar malware.

¿Tiene problemas para apagar su computadora?

Las fallas de apagado o una computadora que tarda mucho en apagarse pueden ser una señal de que el malware se está ejecutando en segundo plano e interrumpe el ciclo de apagado normal. Una vez más, esto también puede deberse a errores en el software legítimo, por lo que no asuma automáticamente que el malware de botnet es el caso.

¿Está notando publicaciones misteriosas en las redes sociales de sus cuentas?

El software malicioso que intenta propagarse puede utilizar algunos métodos ingeniosos de propagación sin ser detectado. Una forma es a través de las redes sociales. Si ha notado algunas publicaciones que no hizo usted mismo, o si las personas le advirtieron que envió mensajes directos que sabe que no envió, es posible que esté infectado.

Al igual que con lo anterior, es posible que el malware en su computadora no sea la causa de esto: su cuenta puede haber sido pirateada, su contraseña robada en una violación de datos u otro dispositivo puede estar comprometido.

¿Su máquina funciona lentamente?

Una desaceleración notable y repentina en la velocidad de su computadora es una señal de que se están utilizando muchos recursos, lo que puede indicar que se está ejecutando un software en segundo plano que no conoce. Nuevamente, esto también puede deberse a otros problemas.

¿No puede descargar actualizaciones del sistema?

Algunos programas maliciosos, especialmente los que se basan en vulnerabilidades conocidas, evitarán que una computadora descargue actualizaciones para mantener sus vulnerabilidades esenciales disponibles para su explotación. Si no puede descargar actualizaciones, este es un problema grave que debe corregirse de inmediato.

¿No puede descargar nuevas definiciones de antivirus?

Si intenta actualizar su software antivirus para escanear porque notó estos otros síntomas, pero no puede descargar la actualización, es muy probable que haya sido infectado por malware que bloquea las actualizaciones del antivirus. Esto también se indica al no poder visitar los sitios web de los proveedores de antivirus, que el malware también bloquea con frecuencia.

¿Su acceso a Internet es muy lento?

Si su máquina se está utilizando para enviar spam o como parte de un ataque DDoS, probablemente esté consumiendo mucho ancho de banda, lo que puede hacer que su conexión a Internet se ralentice. Apague la máquina o desconéctela de Internet y compruebe si los problemas persisten utilizando otra máquina. Si Internet es rápido cuando el sospechoso está desconectado, pero lento cuando está en línea, es muy probable que esté tramando algo.

¿Le han dicho amigos, familiares o compañeros de trabajo que recibieron un correo electrónico sospechoso de usted?

Las botnets a menudo envían spam, y si una ha infectado su computadora, puede usar sus cuentas para enviar mensajes maliciosos a sus contactos.

¿Aparecen ventanas emergentes en momentos aleatorios, incluso cuando no está en línea?

Esto suele ser un signo de otros tipos de malware, pero el malware de botnet en su computadora también puede instalar otro malware. Como mínimo, si está viendo esto, probablemente tenga algún tipo de infección.

¿Hay nombres de programas irreconocibles ejecutándose en el Administrador de tareas?

Los programas y servicios legítimos pueden tener nombres difíciles de reconocer, pero los extraños y un galimatías total pueden indicar malware, especialmente si están consumiendo muchos recursos.

Señales de que un teléfono inteligente está infectado con malware de botnet

Este es un problema mucho mayor para los usuarios de Android. Los iPhones aún pueden infectarse con malware, pero es increíblemente raro a menos que se haya hecho un jailbreak a un dispositivo y se esté utilizando una tienda de aplicaciones de terceros. Android, por otro lado, es mucho más abierto y Google tiene un control mucho más indulgente en la tienda de aplicaciones de Google Play.

Independientemente de la plataforma que utilice, signos de malware para teléfonos inteligentes incluir:

  • Anuncios constantes, independientemente de la aplicación que esté utilizando
  • Desaparece el icono de una aplicación recién instalada
  • Duración de la batería muy reducida
  • Aplicaciones en su dispositivo que no reconoce
  • Ralentizaciones rápidas y sobrecalentamiento grave

Señales de que un dispositivo de IoT ha sido infectado con malware de botnet

Puede ser casi imposible detectar un dispositivo de IoT comprometido, pero la El Departamento de Justicia de EE. UU. Dijo que hay algunas señales, como el rendimiento lento y la respuesta lenta que se observó durante el brote de la botnet Mirai.

Los dispositivos de IoT comprometidos también pueden rechazar las actualizaciones, y se puede notar una actividad inusual de Internet en un firewall o enrutador que indica que un dispositivo de IoT está enviando tráfico que no debería.

Recursos adicionales

¿Cómo puedo evitar que mis dispositivos se conviertan en nodos de botnet?

Hay muchas cosas que se utilizan para proteger los dispositivos conectados a Internet para que no se conviertan en esclavos de las últimas botnets, y no todo es tan simple como una buena higiene de ciberseguridad. Como señala el proveedor de seguridad Norton, Los buenos hábitos de seguridad suelen ser suficientes para proteger las computadoras., pero cuando se trata de teléfonos inteligentes y dispositivos de IoT, las precauciones varían, y todas son igualmente importantes si posee los dos últimos tipos de dispositivos.

Para proteger las computadoras, asegúrese de:

  • Instale un paquete de seguridad confiable, manténgalo actualizado y ejecute análisis regulares
  • Actualice siempre su sistema operativo cada vez que se publiquen nuevas actualizaciones
  • Nunca descargue archivos adjuntos de fuentes sospechosas o correos electrónicos sospechosos de personas que conoce
  • No haga clic en los enlaces de inicio de sesión en un correo electrónico: navegue hasta el sitio web manualmente e inicie sesión desde allí
  • Asegúrese de que el firewall de su sistema operativo esté activo. Tanto Windows 10 como macOS los tienen integrados
  • Practique una buena higiene de contraseñas: no duplique las contraseñas, no las complique y cámbielas con regularidad
  • Utilice la autenticación multifactor para cualquier servicio que la ofrezca

Los consejos de protección de la computadora también se aplican a otros dispositivos: manténgalos actualizados, no haga clic en enlaces incorrectos y no descargue archivos adjuntos sospechosos. Sin embargo, hay algunas consideraciones de seguridad diferentes a tener en cuenta al usar un teléfono inteligente:

  • No instale aplicaciones manualmente usando sus archivos .apk o .ipa: las aplicaciones redistribuidas por sitios web de terceros se pueden modificar para incluir malware
  • No rootee ni haga jailbreak a su dispositivo para instalar una tienda de aplicaciones de terceros, que a menudo está plagada de aplicaciones cargadas de malware
  • Mire las reseñas de los usuarios y la calificación de una aplicación antes de instalarla: si los usuarios mencionan posibles estafas o malware, no instale la aplicación y repórtelo a Google o Apple.

por Recomendaciones de seguridad para dispositivos de IoT, el DOJ sugiere:

  • Investigar los fabricantes de dispositivos de IoT antes de comprarlos. Asegúrese de que la empresa tenga la reputación de fabricar dispositivos seguros y averigüe si viene con una contraseña predeterminada que sea bien conocida o esté codificada.
  • Tómese el tiempo para proteger los dispositivos de IoT antes de conectarlos a Internet. Descargue actualizaciones, cambie las contraseñas predeterminadas y habilite las funciones de seguridad en primer lugar.
  • Utilice contraseñas seguras para los dispositivos de IoT, incluso potencialmente más seguras que las que utilizaría para las cuentas normales. Se deben utilizar contraseñas largas y aleatorias que constan de números, letras, mayúsculas y caracteres especiales para garantizar que los dispositivos sean lo más seguros posible. También puede ser útil cambiar el nombre de la cuenta de administrador a algo diferente si es posible.
  • Instale siempre las actualizaciones de firmware tan pronto como estén disponibles.
  • Desconecte los dispositivos que no se pueden proteger o para los que los fabricantes han publicado un boletín de seguridad pero que aún no se han actualizado contra la vulnerabilidad.
  • Apague y encienda los dispositivos de IoT periódicamente. El malware de botnet a menudo vive en la memoria de un dispositivo de IoT y se puede eliminar con solo apagarlo y dejarlo apagado durante unos minutos.
  • Asegúrese de que las redes Wi-Fi y los enrutadores sean seguros cerrando los puertos no utilizados, habilitando el filtrado de direcciones MAC y deshabilitando el plug-and-play universal.
  • Asegúrese de que los dispositivos de IoT en el borde de las redes estén físicamente protegidos contra manipulaciones.
  • Segmente las redes de IoT para evitar que tengan acceso a una red completa oa otros dispositivos de IoT a los que no necesitan estar conectados.

Recursos adicionales



Enlace a la noticia original