En la lucha contra el ciberdelito, los derribos son solo temporales



En noviembre, diez meses después de que un grupo de trabajo internacional cerrara los servidores y la infraestructura de Emotet, la botnet volvió a estar en línea.

El nuevo Emotet, que propagó malware en una serie de mensajes en español en la segunda mitad del mes, consistía en dos botnets que usaban un cifrado diferente para la comunicación y comandos adicionales que la versión anterior, que fue eliminada en enero. En el momento de la eliminación, la amenaza representaba el 7% de los ataques a organizaciones en todo el mundo y, a menudo, entregaba malware o ransomware a los 1,6 millones de máquinas comprometidas por los atacantes.

El resurgimiento de Emotet destaca cómo muchos derribos de botnets carecen de permanencia. Junto con la reanimación de TrickBot en 2020, el resurgimiento de Emotet demuestra que la industria y las agencias gubernamentales deben analizar detenidamente si la táctica debe ser revisada o revisada, dice David Monnier, miembro de la firma de inteligencia de amenazas Crew Cymru.

«Es una pregunta increíblemente válida que deberíamos hacernos, como hacemos con cualquier cosa: si no está obteniendo los resultados que desea, debería [you] estar haciendo algo diferente en su lugar? «, dice.» Estamos mejorando o es esto [the movie] ¿’Día de la Marmota’? «

Interrupciones temporales
Hace más de una década, Microsoft fue pionera en el uso de medidas legales para permitir que las empresas privadas eliminen las redes de bots. Más de una veintena de derribos posteriores, los esfuerzos de varias organizaciones, que ahora a menudo incluyen a socios de la industria privada y de la aplicación de la ley, a menudo solo interrumpen temporalmente las infraestructuras de las redes de bots. Los operadores de Trickbot, por ejemplo, comenzaron a reactivar la crimson a las pocas semanas del cierre inicial.

En el caso de Emotet, la eliminación llevó a una pausa de 10 meses, durante la cual los operadores de la botnet parecen haber realizado cambios, como alejarse del uso cada vez mayor de servicios ciberdelincuentes para partes de la infección y la cadena de carga útil, dice Scott Scheferman, un principal estratega cibernético de Eclypsium, una empresa de seguridad de firmware y components.

«Estos actores tienen mucha capacidad de recuperación y mucho dinero. Como resultado, pueden adaptarse fácilmente», dice. «Están volviendo a la tríada de distribución, un cargador de Trickbot y caída de ransomware. Están volviendo a sí mismos de manera centralizada, en lugar de usar todo como un servicio».

El problema elementary para los defensores es que, si bien la infraestructura puede verse afectada, las personas detrás de los ataques, a menudo protegidas por naciones cómplices con leyes liberales contra el ciberdelito, no tienen restricciones y pueden trabajar para reconstruir sus redes de distribución maliciosas. Si bien Estados Unidos y otras naciones se centran en medidas más agresivas para reducir el delito cibernético, en basic, y el ransomware, en unique, ayudarán, el delito cibernético es demasiado rentable para que muchos grupos reduzcan sus operaciones.

«Muchos de estos actores sofisticados que se han vuelto prolíficos, los grupos Emotet y REvil, realmente están operando desde lugares donde Occidente no puede tocarlos», dice Michael DeBolt, director de inteligencia de la firma de inteligencia de amenazas Intel 471. , agregando que tales desventajas no hacen que la actividad no valga la pena. «Sin embargo, desde un nivel más alto, obviamente los esfuerzos de disrupción contra grupos sofisticados deberían ser el objetivo no solo de las fuerzas del orden, sino también de los grupos de la industria privada».

Además de derribar la infraestructura de actores específicos, enfocarse en identificar e interrumpir la infraestructura prison crítica, como el alojamiento a prueba de balas, también podría generar beneficios a más largo plazo, agrega. En 2011, por ejemplo, los investigadores descubrieron que el 95% de los ingresos por ventas de productos publicitados con spam fueron manejados por una docena de bancos, lo que permitió a las autoridades financieras interrumpir una amplia franja de grupos delictivos.

Los defensores y los funcionarios gubernamentales deben identificar piedras angulares similares en el panorama real del delito cibernético.

«Todo esto se decrease a identificar realmente los puntos débiles que pueden aumentar el tiempo, el dinero y el esfuerzo que los ciberdelincuentes necesitan para hacer negocios», dice DeBolt. «Si identificamos un servidor o una infraestructura de again-stop y lo quitamos, vemos, genial, no le corta completamente la cabeza a la serpiente, pero hace que retroceda un poco y se vuelva a ajustar, y ese es el momento. , dinero y esfuerzo para ellos «.

Esfuerzo constante
Algunos esfuerzos de eliminación han tenido éxito. La eliminación de la botnet Necurs, que actuó como plataforma de distribución de otro malware, como GameOver Zeus y Trickbot, parece haber funcionado en gran medida. La botnet, que se había quedado en silencio y regresó anteriormente, desapareció en gran parte en marzo de 2020 luego de un derribo encabezado por Microsoft y Bitsight.

Aún así, muchos atacantes aprenden de tales acciones y regresan, mejorando sus tácticas, técnicas y procedimientos (TTP). Afortunadamente, los defensores y las fuerzas del orden también se están volviendo más eficientes en los esfuerzos de eliminación, dice Monnier del equipo Cymru. Si bien el equilibrio actualmente parece favorecer a los atacantes, si los esfuerzos de interrupción toman menos tiempo para que los defensores lo logren y más tiempo y esfuerzo para que los atacantes se recuperen, eliminar los servidores y la infraestructura, aunque sea temporal, valdrá la pena, dice.

No hay necesariamente una solución milagrosa o un solo evento que pueda interrumpir estos esfuerzos, pero un esfuerzo constante mantendrá la presión sobre los grupos y hará que el delito cibernético sea menos rentable, dice el ex marine estadounidense.

«Tenemos un dicho en la Infantería de Marina: tienes que elegir entre el dolor de la disciplina o el dolor del arrepentimiento», dice Monnier. «Tenemos que adoptar el mismo enfoque, la misma tenacidad. Mientras se lo hagamos más difícil, tenemos que hacerlo».



Enlace a la noticia original