Como método común y eficaz de ciberataque, las botnets representan una gran amenaza para la seguridad de Internet actual. Este artículo presenta el concepto y los métodos de control de las botnets, así como las 6 notorias botnets. Espero que después de leer este artículo, pueda tener una comprensión preliminar de las botnets.
Una botnet es una red que utiliza uno o más medios de propagación para infectar una gran cantidad de hosts con un virus de programa bot (zombie), creando así una red que se puede controlar uno a varios entre el controlador y los hosts infectados.
A veces se les llama "ejércitos de bots" y los ciberdelincuentes pueden utilizarlos para una variedad de actividades, incluido el envío de spam y la realización de ataques distribuidos de denegación de servicio (DDoS).
Cualquier dispositivo conectado a Internet se puede agregar a una botnet, incluidas computadoras portátiles, computadoras de escritorio, teléfonos inteligentes, reproductores de DVR, enrutadores inalámbricos y otros dispositivos de Internet de las cosas (IoT).
Las botnets están controladas por servidores de comando y control (C&C), que son computadoras controladas por piratas informáticos o grupos de piratas informáticos que pueden enviar comandos a las botnets en la botnet y también pueden recibir información recopilada por las botnets. El controlador de la botnet se llama Bot Botder o Bot master.
La llegada de IoT (Internet of Things) significa que ahora se pueden agregar más dispositivos a la botnet. Además, vale la pena señalar que muchos dispositivos de IoT ahora no están lo suficientemente seguros y dependen principalmente de contraseñas y firmware predeterminados que son difíciles de actualizar. Esto significa que el tamaño de las redes de bots puede crecer fácilmente en el futuro.
¿Cómo controla la botnet su computadora?
Una botnet puede ser controlada por un controlador botmaster de varias formas diferentes.
Tradicionalmente, una botnet puede estar controlada por un servidor C&C. En este caso, el dispositivo Bot regresa a una ubicación predeterminada y espera una orden del servidor. el controlador del Bot envía el comando al servidor, que luego reenvía el comando a la red del Bot, y luego el dispositivo Bot envía los resultados o la información recopilados a ese servidor central.
Sin embargo, tener un servidor centralizado hace que la botnet sea más vulnerable a ataques e intentos de sabotaje. Por esta razón, muchos controladores de botnets ahora utilizan principalmente el modelo peer-to-peer (P2P).
En las redes de bots P2P, los dispositivos de bot interconectados comparten información sin informar a un servidor central, es decir, los dispositivos de bot infectados envían y reciben comandos. Estos dispositivos bot luego sondean direcciones IP aleatorias para contactar con otros dispositivos infectados. Una vez contactado, el dispositivo Bot responde con información como su versión de software y una lista de dispositivos conocidos. Si el Bot contactado tiene una versión de software más reciente, el otro Bot se actualizará automáticamente a esa versión. Este enfoque permite que la botnet crezca y se mantenga actualizada sin contactar a un servidor central, lo que dificulta que las fuerzas del orden u otras agencias eliminen la botnet.
Los dos usos más comunes de las redes de bots son enviar campañas de spam y realizar ataques distribuidos de denegación de servicio (DDoS).
Los dispositivos bot también se pueden usar para enviar malware por correo electrónico, y los diferentes tipos de malware pueden tener diferentes objetivos, incluida la recopilación de información de las computadoras infectadas. Esto puede incluir contraseñas, información de tarjetas de crédito y cualquier otra información que pueda venderse en el mercado negro. La información confidencial de la empresa también puede correr el riesgo de ser robada si los dispositivos de la red corporativa se convierten en dispositivos Bot.
Los dispositivos Bot también se utilizan comúnmente para el fraude de clics, visitar sitios web para crear tráfico falso y generar ingresos para el propietario del dispositivo Bot, y a menudo también se utilizan para la minería de bitcoins.
6 botnets infames
Han surgido muchas botnets a lo largo de la historia, pero algunas de ellas han tenido más influencia que otras. Aquí hay 6 botnets muy famosas.
Bagle
Bagle es una de las primeras redes de bots del mundo, que se utilizó para una campaña masiva de spam. Surgió en 2004 y consistía principalmente en dispositivos informáticos de Microsoft Windows. Bagle es un gusano que infectó a más de 200.000 computadoras y se estima que el virus envía más de 10% de todo el spam en todo el mundo.
Conficker
Conficker es un gusano informático notorio que apareció por primera vez a finales de 2008 y ha estado plagando al personal de seguridad de la red.
La primera versión de Conficker apareció en noviembre de 2008 y se extendió rápidamente a través de recursos compartidos de red y unidades USB infectadas. Según un recuento, ha infectado hasta 11 millones de computadoras. Esto convierte a Conficker en una enorme botnet que podría causar mucho daño a través de enormes ataques DDoS si los atacantes quisieran usarla para atacar. Sin embargo, no emitió ningún ataque, e incluso ahora las verdaderas intenciones de los creadores detrás de Conficker siguen siendo un misterio, y nunca estuvo claro a qué grupo se atribuyó.
Se estima que el costo de limpiar Conficker es tan alto como $9 mil millones y, sorprendentemente, las computadoras infectadas con Conficker todavía existen a pesar de que se lanzó hace casi una década.
ZeroAccess
Una de las redes de bots más grandes conocidas, la botnet ZeroAccess surgió en 2013 como una botnet del ejército con casi 2 millones de computadoras. Es una botnet difícil de abordar debido al uso de un modelo de servidor P2P + C&C, pero los investigadores de Symantec investigaron la botnet en 2013 y encontraron que casi 500.000 de los dispositivos Bot tenían sandboxes (entornos sandbox del navegador).
ZeroAccess se utiliza principalmente para el fraude de clics y la minería de bitcoins, y dado el tamaño de la botnet, se cree que generó una riqueza significativa para los controladores detrás de ella en el apogeo de su actividad.
Gameover Zeus
Gameover Zeus es una enorme botnet que se utiliza principalmente para robar información bancaria a las personas. La botnet tiene hasta 1 millón de dispositivos informáticos. Se estima que la botnet se ha utilizado para robar más de $100 millones.
Gameover Zeus es una variante del malware Trojan.ZBot y todavía está activo en la actualidad. Gameover Zeus es una variante sofisticada del malware original que puede permitir el fraude financiero a gran escala al secuestrar las sesiones bancarias en línea de miles de víctimas. Como muchas campañas actuales de malware por correo electrónico, generalmente se envía a través de correos electrónicos salientes. Una vez que un usuario infectado visita su sitio bancario, el malware intercepta la sesión, accede a la información de la víctima y roba su dinero.
Aunque Gameover Zeus se eliminó en 2014, muchas variantes del malware Zeus todavía están activas en la actualidad.
Necurs
Necurs es una de las botnets más activas y conocidas en este momento. Fue uno de los mayores distribuidores de correos electrónicos maliciosos en 2016 y también promovió campañas de ransomware Locky a gran escala. Sin embargo, misteriosamente cesó sus operaciones el 24 de diciembre de 2016 y permaneció inactivo durante casi tres meses. Durante este período, la tasa de correos electrónicos maliciosos detectados por Symantec (una agencia de ciberseguridad) se redujo drásticamente.
La actividad se reanudó el 20 de marzo y Symantec bloqueó casi 2 millones de correos electrónicos maliciosos solo ese día. Sin embargo, desde su regreso, Necurs no se ha centrado en enviar campañas de correo electrónico malicioso, sino que ha estado enviando campañas de spam de stock de tipo “bombear y descargar”. Comenzó a enviar este tipo de campañas antes de desaparecer en diciembre y ha redoblado sus esfuerzos para seguir haciéndolo desde su regreso.
El propósito de enviar spam de acciones es hacer subir el precio de una acción en manos del remitente de correo electrónico alentando a la víctima a comprar acciones de la misma empresa. Una vez que el precio de las acciones aumenta debido a las compras de acciones de la víctima, el spammer vende todas las acciones. Esto hace que el precio de las acciones caiga drásticamente y hace menos probable que las víctimas vendan sus acciones.
Mirai
La mayoría de las personas probablemente estén familiarizadas con Mirai, que devastó las redes de todo el mundo en los últimos meses de 2016, utilizando una variedad de dispositivos de IoT para lanzar ataques DDoS en varios objetivos en todo el mundo.
Los objetivos iniciales de los ataques DDoS de Mirai en septiembre fueron los sitios web del proveedor de alojamiento OVH, así como el experto en seguridad Brian Krebs. Estos fueron ataques DDoS masivos, que en ese momento fueron los más grandes de la historia con 1 Tbps y 620 Gbps, respectivamente. A fines de septiembre, Mirai lanzó una actualización sobre su comunidad de piratería en línea HackForums, y tres semanas después lanzó un ataque DDoS masivo contra el proveedor de DNS Dyn para bloquear el acceso de los usuarios a varios sitios web conocidos, incluidos Netflix, Twitter y PayPal.
A fines de noviembre, una variante de la red Mirai aprovechó una vulnerabilidad en los enrutadores en Alemania para el acceso a Internet, lo que provocó un ataque a casi 1 millón de usuarios domésticos de Internet; la misma vulnerabilidad también afectó a los enrutadores de los usuarios domésticos de Internet irlandeses.
La botnet Mirai consiste principalmente en enrutadores y cámaras de seguridad infectados, y este incidente destaca que los dispositivos de IoT son muy laxos en lo que respecta a la seguridad.
5. Resumen
Las botnets han existido durante mucho tiempo y han crecido a medida que la tecnología continúa evolucionando. Con el crecimiento de los dispositivos de IoT y el aumento en la cantidad de dispositivos asociados con Internet, la historia del desarrollo de botnets puede estar lejos de terminar.
Español 
English 
Français 
日本語 
Deutsch (Sie) 
Italiano 
Polski 
Português 
ไทย 
Bahasa Indonesia
¿Qué es Botnet? ¿Como funciona? Las 6 botnets más notorias
Como método común y eficaz de ciberataque, las botnets representan una gran amenaza para la seguridad de Internet actual. Este artículo presenta el concepto y los métodos de control de las botnets, así como las 6 notorias botnets. Espero que después de leer este artículo, pueda tener una comprensión preliminar de las botnets.
¿Qué es una botnet?
Una botnet es una red que utiliza uno o más medios de propagación para infectar una gran cantidad de hosts con un virus de programa bot (zombie), creando así una red que se puede controlar uno a varios entre el controlador y los hosts infectados.
A veces se les llama "ejércitos de bots" y los ciberdelincuentes pueden utilizarlos para una variedad de actividades, incluido el envío de spam y la realización de ataques distribuidos de denegación de servicio (DDoS).
Cualquier dispositivo conectado a Internet se puede agregar a una botnet, incluidas computadoras portátiles, computadoras de escritorio, teléfonos inteligentes, reproductores de DVR, enrutadores inalámbricos y otros dispositivos de Internet de las cosas (IoT).
Las botnets están controladas por servidores de comando y control (C&C), que son computadoras controladas por piratas informáticos o grupos de piratas informáticos que pueden enviar comandos a las botnets en la botnet y también pueden recibir información recopilada por las botnets. El controlador de la botnet se llama Bot Botder o Bot master.
La llegada de IoT (Internet of Things) significa que ahora se pueden agregar más dispositivos a la botnet. Además, vale la pena señalar que muchos dispositivos de IoT ahora no están lo suficientemente seguros y dependen principalmente de contraseñas y firmware predeterminados que son difíciles de actualizar. Esto significa que el tamaño de las redes de bots puede crecer fácilmente en el futuro.
¿Cómo controla la botnet su computadora?
Una botnet puede ser controlada por un controlador botmaster de varias formas diferentes.
Tradicionalmente, una botnet puede estar controlada por un servidor C&C. En este caso, el dispositivo Bot regresa a una ubicación predeterminada y espera una orden del servidor. el controlador del Bot envía el comando al servidor, que luego reenvía el comando a la red del Bot, y luego el dispositivo Bot envía los resultados o la información recopilados a ese servidor central.
Sin embargo, tener un servidor centralizado hace que la botnet sea más vulnerable a ataques e intentos de sabotaje. Por esta razón, muchos controladores de botnets ahora utilizan principalmente el modelo peer-to-peer (P2P).
En las redes de bots P2P, los dispositivos de bot interconectados comparten información sin informar a un servidor central, es decir, los dispositivos de bot infectados envían y reciben comandos. Estos dispositivos bot luego sondean direcciones IP aleatorias para contactar con otros dispositivos infectados. Una vez contactado, el dispositivo Bot responde con información como su versión de software y una lista de dispositivos conocidos. Si el Bot contactado tiene una versión de software más reciente, el otro Bot se actualizará automáticamente a esa versión. Este enfoque permite que la botnet crezca y se mantenga actualizada sin contactar a un servidor central, lo que dificulta que las fuerzas del orden u otras agencias eliminen la botnet.
Usos de las botnets
Los dos usos más comunes de las redes de bots son enviar campañas de spam y realizar ataques distribuidos de denegación de servicio (DDoS).
Los dispositivos bot también se pueden usar para enviar malware por correo electrónico, y los diferentes tipos de malware pueden tener diferentes objetivos, incluida la recopilación de información de las computadoras infectadas. Esto puede incluir contraseñas, información de tarjetas de crédito y cualquier otra información que pueda venderse en el mercado negro. La información confidencial de la empresa también puede correr el riesgo de ser robada si los dispositivos de la red corporativa se convierten en dispositivos Bot.
Los dispositivos Bot también se utilizan comúnmente para el fraude de clics, visitar sitios web para crear tráfico falso y generar ingresos para el propietario del dispositivo Bot, y a menudo también se utilizan para la minería de bitcoins.
6 botnets infames
Han surgido muchas botnets a lo largo de la historia, pero algunas de ellas han tenido más influencia que otras. Aquí hay 6 botnets muy famosas.
Bagle
Bagle es una de las primeras redes de bots del mundo, que se utilizó para una campaña masiva de spam. Surgió en 2004 y consistía principalmente en dispositivos informáticos de Microsoft Windows. Bagle es un gusano que infectó a más de 200.000 computadoras y se estima que el virus envía más de 10% de todo el spam en todo el mundo.
Conficker
Conficker es un gusano informático notorio que apareció por primera vez a finales de 2008 y ha estado plagando al personal de seguridad de la red.
La primera versión de Conficker apareció en noviembre de 2008 y se extendió rápidamente a través de recursos compartidos de red y unidades USB infectadas. Según un recuento, ha infectado hasta 11 millones de computadoras. Esto convierte a Conficker en una enorme botnet que podría causar mucho daño a través de enormes ataques DDoS si los atacantes quisieran usarla para atacar. Sin embargo, no emitió ningún ataque, e incluso ahora las verdaderas intenciones de los creadores detrás de Conficker siguen siendo un misterio, y nunca estuvo claro a qué grupo se atribuyó.
Se estima que el costo de limpiar Conficker es tan alto como $9 mil millones y, sorprendentemente, las computadoras infectadas con Conficker todavía existen a pesar de que se lanzó hace casi una década.
ZeroAccess
Una de las redes de bots más grandes conocidas, la botnet ZeroAccess surgió en 2013 como una botnet del ejército con casi 2 millones de computadoras. Es una botnet difícil de abordar debido al uso de un modelo de servidor P2P + C&C, pero los investigadores de Symantec investigaron la botnet en 2013 y encontraron que casi 500.000 de los dispositivos Bot tenían sandboxes (entornos sandbox del navegador).
ZeroAccess se utiliza principalmente para el fraude de clics y la minería de bitcoins, y dado el tamaño de la botnet, se cree que generó una riqueza significativa para los controladores detrás de ella en el apogeo de su actividad.
Gameover Zeus
Gameover Zeus es una enorme botnet que se utiliza principalmente para robar información bancaria a las personas. La botnet tiene hasta 1 millón de dispositivos informáticos. Se estima que la botnet se ha utilizado para robar más de $100 millones.
Gameover Zeus es una variante del malware Trojan.ZBot y todavía está activo en la actualidad. Gameover Zeus es una variante sofisticada del malware original que puede permitir el fraude financiero a gran escala al secuestrar las sesiones bancarias en línea de miles de víctimas. Como muchas campañas actuales de malware por correo electrónico, generalmente se envía a través de correos electrónicos salientes. Una vez que un usuario infectado visita su sitio bancario, el malware intercepta la sesión, accede a la información de la víctima y roba su dinero.
Aunque Gameover Zeus se eliminó en 2014, muchas variantes del malware Zeus todavía están activas en la actualidad.
Necurs
Necurs es una de las botnets más activas y conocidas en este momento. Fue uno de los mayores distribuidores de correos electrónicos maliciosos en 2016 y también promovió campañas de ransomware Locky a gran escala. Sin embargo, misteriosamente cesó sus operaciones el 24 de diciembre de 2016 y permaneció inactivo durante casi tres meses. Durante este período, la tasa de correos electrónicos maliciosos detectados por Symantec (una agencia de ciberseguridad) se redujo drásticamente.
La actividad se reanudó el 20 de marzo y Symantec bloqueó casi 2 millones de correos electrónicos maliciosos solo ese día. Sin embargo, desde su regreso, Necurs no se ha centrado en enviar campañas de correo electrónico malicioso, sino que ha estado enviando campañas de spam de stock de tipo “bombear y descargar”. Comenzó a enviar este tipo de campañas antes de desaparecer en diciembre y ha redoblado sus esfuerzos para seguir haciéndolo desde su regreso.
El propósito de enviar spam de acciones es hacer subir el precio de una acción en manos del remitente de correo electrónico alentando a la víctima a comprar acciones de la misma empresa. Una vez que el precio de las acciones aumenta debido a las compras de acciones de la víctima, el spammer vende todas las acciones. Esto hace que el precio de las acciones caiga drásticamente y hace menos probable que las víctimas vendan sus acciones.
Mirai
La mayoría de las personas probablemente estén familiarizadas con Mirai, que devastó las redes de todo el mundo en los últimos meses de 2016, utilizando una variedad de dispositivos de IoT para lanzar ataques DDoS en varios objetivos en todo el mundo.
Los objetivos iniciales de los ataques DDoS de Mirai en septiembre fueron los sitios web del proveedor de alojamiento OVH, así como el experto en seguridad Brian Krebs. Estos fueron ataques DDoS masivos, que en ese momento fueron los más grandes de la historia con 1 Tbps y 620 Gbps, respectivamente. A fines de septiembre, Mirai lanzó una actualización sobre su comunidad de piratería en línea HackForums, y tres semanas después lanzó un ataque DDoS masivo contra el proveedor de DNS Dyn para bloquear el acceso de los usuarios a varios sitios web conocidos, incluidos Netflix, Twitter y PayPal.
A fines de noviembre, una variante de la red Mirai aprovechó una vulnerabilidad en los enrutadores en Alemania para el acceso a Internet, lo que provocó un ataque a casi 1 millón de usuarios domésticos de Internet; la misma vulnerabilidad también afectó a los enrutadores de los usuarios domésticos de Internet irlandeses.
La botnet Mirai consiste principalmente en enrutadores y cámaras de seguridad infectados, y este incidente destaca que los dispositivos de IoT son muy laxos en lo que respecta a la seguridad.
5. Resumen
Las botnets han existido durante mucho tiempo y han crecido a medida que la tecnología continúa evolucionando. Con el crecimiento de los dispositivos de IoT y el aumento en la cantidad de dispositivos asociados con Internet, la historia del desarrollo de botnets puede estar lejos de terminar.
Artículos Relacionados:
Relacionado