miércoles, 3 de marzo de 2010

Golpe policial a una red zombi española con casi 13 millones de PC cautivos.

La noticia del día es sin duda la "Operación Mariposa" que ha supuesto la detención de tres delincuentes que controlaban una red de equipos PC zombies de casi 13 millones de PC víctimas, uno de ellos además murciano.
Según explica la propia Web del Grupo de Delitos Tecnológicos de la Guardia Civil, esta operación lleva tiempo cociéndose y ayer se produjeron las detenciones de los presuntos responsables.


"El pasado mes de mayo, técnicos de Defence Intelligence y Panda Security, detectaron e iniciaron el seguimiento de la botnet mariposa. Paralelamente, el FBI inició otra investigación sobre la misma botnet, obteniendo indicios de la posible existencia de un individuo español vinculado a la botnet, que puso en conocimiento de la Guardia Civil.Puestos en contacto investigadores y el Grupo de Trabajo, se avanzó en la investigación de forma coordinada, lo que permitió conocer la existencia de un grupo de habla hispana, identificado como DDPTEAM, que había adquirido en el mercado del malware el troyano, para su distribución y control.
El 23 de diciembre, se procedió, a nivel internacional, a bloquear la botnet, lográndose identificar al máximo responsable del grupo, “netkairo”, detenido el pasado 3 de febrero, y al que se le intervinieron varios equipos informáticos que están siendo analizados. La pasada semana, fueron detenidos el resto del grupo, “OsTiaToR” y “Johnyloleante”.
Por el número de ordenadores que la integran, probablemente sea una de las botnes más grandes que se han detectado y desmantelado"


Es significativo también el hecho de que los detenidos desconocían el poder que tenían entre manos. Su perfil coincide con una nueva generación de ciberdelincuentes, que sin profundos conocimientos informáticos, adquieren en el mercado del malware herramientas que les permiten realizar sus fechorías.

El informe técnico detallado sobre cómo funcionaba la botnet "Mariposa" puede ser descargado de la Web de Defintel: Análisis Botnet Mariposa.

Últimamente mi actividad profesional está relacionada con establecer una estrategia de gestión, detección y mitigación de malware y ciertamente es un problema cuya preocupación por parte de los responsables de seguridad creo que debe ir en aumento. El malware ha cambiado su orientación, sus objetivos y ahora el enemigo se mueve con velocidad y voracidad.

Quizás hayamos asumido como normal la presencia de virus informáticos en nuestros equipos y redes pero es un problema importante de gestión que hay que afrontar. Aun así, creo que debe existir tolerancia cero frente a este tipo de incidentes dado que son la antesala de problemas más graves (sobre todo robo de información, tanto personal, como credenciales bancarias, como corporativa relacionada con la propiedad intelectual o industrial).

En este sentido, las estrategias a implantar deben basarse como siempre en tres planos:
Prevención
  • El usuario como responsable o piloto del PC que puede tomar decisiones ariesgadas y al que hay que concienciar y entrenar para que sea cauteloso.

  • Limitar privilegios y posibles vías de infección como medio de restringir las posibilidades de contagio y sobre todo, lograr de forma preventiva que usuarios no entrenados o intencionados puedan hacer con el equipo PC asignado lo que quieran.

Detección
  • En los tiempos que corren es necesario y diría casi imprescindible vigilar la red y los patrones de tráfico habitual que tiene nuestra organización. La estrategia de monitorización y detección de anomalías puede ser eficaz cuando se trata de perseguir el malware. Los indicios como aumento del uso de puertos, conexiones extrañas a url o ip desconocidas o catalogadas como origen de malware son herramientas básicas con las que contar. La versión automatizada de este tipo de tecnologías son los IDS o IPS (detectores de intrusos) que advierten precisamente de este tipo de comportamientos extraños o no habituales.

Recuperación
  • Una vez que tenemos la certeza de tratar con un equipo infectado, lo único que queda es aplicar un protocolo de desinfección fiable, que tengamos la certeza que una vez revisado el equipo va a quedar descontaminado. En este sentido, depende esencialmente de la sofisticación del malware con la que nos tengamos que enfrentar cual debe ser la dureza de las acciones de limpieza a aplicar, llegando en casos extremos al formateo del equipo.


Posibles soluciones:
A las ya comentadas en el post del año 2007 ¿Soy un zombie? que sigen vigentes, quiero añadir ahora un documento que la propia Microsoft ha elaborado denominado Malware Removal Starter Kit que da las pautas sobre cómo lograr una desinfección eficaz y que se complementa con este enlace a Technet que explica cómo usar este kit.

También me parece interesante comentar la estrategia que se está siguiendo el CERT japones (https://www.ccc.go.jp/en_bot/index.html) y que ha sido comentada por Brian Krebs sobre cómo se está luchando contra las redes zombies.
En concreto existe en Japón un CyberCleanCenter que es una Web donde el usuario siguiendo unas instrucciones de forma sencilla puede intentar limpiar su equipo. El diagrama representa los diferentes pasos que se dan para lograr que el usuario infectado sea consciente de ello y logre librarse del malware.


En España puede sonar muy agresivo ser avisado por correo electrónico sobre el quehacer de tu equipo pero los riesgos para el infectado en caso de no combatir la presencia de malware pueden ser peores. En cualquier caso, disponemos desde hace tiempo de la Oficina de Seguridad del Internauta que está para dar soporte por este tipo de problemáticas y que quizás no sea suficientemente conocida.



Es necesaria una mayor proactividad frente a esta lacra del mundo digital que requiere cada vez más la concienciación del usuario doméstico y la existencia de sitios con la Web japonesa que permiten de forma sencilla lograr que el usuario limpie su equipo. Como dice un proverbio "Si cada uno barre la puerta de su casa, qué limpia estaría la ciudad" que ahora podría ser "si cada uno mantiene su pc desinfectado, qué limpio estaría Internet"

3 comentarios:

Anónimo dijo...

Hola Javier. Siendo de la región de Murcia, podías haber indicado que, PRESUNTAMENTE, uno de los tres detenidos es de Molina de Segura.
Para hacer patria, vamos.
Paco.

Anónimo dijo...

Desde mi punto de vista, a parte de lo que comentas en tu artículo,hay que apostar por un desarrollo seguro, el cual no aglutine vulnerabilidades (o las menos posibles), que son aprovechadas por los cyberdelincuentes, para expandir su código malware.

Áudea dijo...

Impresionante noticia que es todo un reflejo de el cariz que tomando el tema de la (in)seguridad informática. Lo más llamativo sea quizás el hecho de que los delincuentes ya ni se molestan en crear su "plataforma" para delinquir, directamente la compran.

 
;