Los muertos vivientes del software

¿Los has visto? Tu maquina puede ser una de ellos…

Un ordenador Zombie u ordenador Bot: (Lo más normal es que este bot forme parte de una red de miles de ordenadores zombies conectados entre sí, que recibe el nombre de red Botnet) es la denominación asignada a computadores personales que, tras haber sido infectados por algún tipo de malware, pueden ser usados por una tercera persona para ejecutar actividades de ciber delitos. Estos malware pueden estar dormidos, hasta que su ejecutante los despierte, descargando una gran cantidad de virus en sus dispositivos. Este uso se controla a distancia y sin la autorización o el conocimiento del usuario del equipo, mediante virus informáticos que sirven de llave a programas creados con este propósito, el computador principal se infiltra discretamente en el computador de su víctima y lo usa para actividades ilegales. El usuario normalmente no sabe que su computador está comprometido y lo puede seguir usando, aunque pueda notar que su rendimiento ha bajado considerablemente. El computador zombie comienza a enviar una gran cantidad de mensajes spam o ataques a páginas Web convirtiéndose en punto central de investigaciones de posibles actividades ilegales.

Grupos organizados pueden llegar a controlar grupos de decenas de miles de computadores infectados, que pueden usar para generar grandes cantidades de tráfico proveniente de multitud de fuentes en Internet, dirigido a una sola red o servidor. Esto genera lo que se conoce como un ataque de denegación de servicio (o DDoS por su sigla en inglés), lo que suele ser usado para chantajear a las víctimas, que deben pagar una suerte de peaje para mantener sus servicios en la red.

Los ordenadores zombies se han venido utilizando para envío masivo de correos electrónicos no deseados. En el año 2005 se calculaba que entre un 50% y un 80% de todo el spam que circulaba por la red lo enviaban ordenadores de este tipo. Esta técnica es muy útil para los delincuentes porque les permite evitar ser detectados y, al mismo tiempo, reducir sus costes de ancho de banda (ya que son los propietarios de los equipos zombies los que se hacen cargo). Este tipo de fraudes de spam también fomenta en gran medida la propagación de los troyanos, ya que este tipo de Malware no se reproduce a sí mismo, sino que se basa en la circulación por correo electrónico para crecer; a diferencia de los gusanos que pueden propagarse por otros medios. Por razones similares, los zombies también se utilizan para cometer fraudes contra sitios que muestran publicidad contextual de pago por clic, inflando artificialmente los números.

Son un tipo de ataque complejo de detectar, ya que la citada ralentización en el acceso al sitio puede pasar desapercibida durante meses e incluso años o ser confundida con otros problemas.

Además en las máquinas zombies también se puede:

• Minar criptomonedas: Cada vez es más común que el malware utilice el ordenador zombie para minar criptomonedas. Por supuesto, todas las ganancias se las quedan los hackers…
• Manipulación de datos: Puesto que los bots están bajo el control del ciberdelincuente, pueden hacer cosas tan sofisticadas como rellenar encuestas o votar en determinadas webs de opinión, para manipular los resultados.
• Fraude publicitario: Los ordenadores zombies son obligados a entrar en webs con publicidad de los ciberdelincuentes, y pulsar en los banners publicitarios. Así ganan dinero con la publicidad.
• Actividades delictivas: Se puede obligar a los bots a descargar contenido en redes pornográficas, prostitución, compra ilegal de drogas o armas, y otras actividades que si son detectadas inculparían al dueño del ordenador

Estas son las señales de que tus equipos pueden ser zombies:

• La red o conexión a internet es inusualmente lenta con los procesos de carga, etc.
• Hay actividad de red totalmente desconocida cuando nadie más está usando Internet.
• El ordenador no puede acceder a algunas o varias características de sitios web.
• La cantidad de SPAM (correo basura) que recibe, aumenta dramáticamente pudiendo provocar fallas y retrasos durante el procesamiento del sistema en algunos casos.
• El firewall alerta sobre programas o procesos desconocidos que tratan de acceder desde Internet con fines maliciosos hacia su computadora.

Si su computador tiene varios de estos síntomas, es posible que esté infectado con malware y sea parte de una botnet, por lo que debe acudir inmediatamente con alguien de confianza especializado en el tema a pedirle ayuda.

Algunos tipos de zombies pueden ser:

1. Storm:
   Este es el malware más viejo de nuestra lista, y ha sido uno de los primeros en tener éxito usando tácticas que luego serían utilizadas por otras botnets de esta lista. Fue masivo, logrando alcanzar diez millones de computadoras con Windows en sus inicios. También fue una de las primeras botnets increíblemente grandes usadas para el crédito económico de sus autores.
   El gran tamaño de esta red les permitió fraccionarla para venderla a diferentes partes, con diversos fines maliciosos. Y porque esto resultó un esfuerzo muy lucrativo, los creadores del malware lo diseñaron para que pelee contra los investigadores anti-malware: era capaz de tornar sus fuerzas zombies contra quien intentara unirse a su canal de comando y control, desde donde los autores daban órdenes a los bots, dejando a los investigadores offline y fuera de batalla.
2. Conficker:
   El malware es difícil de predecir. A veces una amenaza que en la superficie no parece ser particularmente avanzada, puede terminar protagonizando un ataque abrumador. En su apogeo, Conficker infectó millones de máquinas.
   Esto no fue diferente: la cantidad de infecciones fue tan grande que se creó el equipo Conficker Working Group para pelear contra él. Y si bien tuvieron un éxito disminuyendo el número de máquinas infectadas, según el sitio del grupo, hay todavía un millón de computadoras aún afectadas en el mundo –seis años después de que fuera descubierto.
3. Zeus:
   Zeus fue igual de abarcativa: no solo fue una gran botnet en sistemas Windows, tenía también un componente que robaba códigos de banca en línea de una variedad de dispositivos infectados (Symbian, Windows Mobile, Android y Blackberry). En 2012, fuerzas estadounidenses y sus socios de la industria de la tecnología dieron de baja la botnet.
4. Flashback:
   Para aquellos que piensan que “Mac no se infecta con virus”, Flashback fue en cierta forma un shock. Lo cierto es que las Macs pueden infectarse con malware –y lo hacen. De hecho, máquinas infectadas se han convertido en parte de esta botnet masiva. Mientras la red Conficker se hizo de un mayor número de máquinas afectadas, Flashback tuvo un gran porcentaje del número total de máquinas Apple, con cerca de 600 mil infectadas en su mejor momento. Hoy la botnet está abandonada, pero contemplando que aún hay computadoras infectadas, ¿quién sabe qué deparará su futuro?
5. Windigo:
   Este bot roba credenciales de máquinas infectadas, o usa su poder de procesamiento para enviar spam. Y con solo algunas decenas de miles de máquinas infectadas en su pico, sería difícil equiparar esta amenaza con el resto de las botnets de esta lista. Windigo no se limita a afectar sistemas Linux: infecta computadoras Windows con malware que se propaga a través de un exploit kit. También sirve a los usuarios de Mac con avisos de sitios de citas, y redirige a los de iPhone a sitios pornográficos.

Más recientemente, en 2010, una red criminal que controlaba de forma remota alrededor de trece millones de ordenadores infectados llamada Mariposa fue derribada en España por el Grupo de Delitos Telemáticos de la Unidad Central Operativa de la Guardia Civil (UCO) y sus responsables fueron detenidos. Tenían en su posesión datos de 800.000 personas de 190 países.
El sentido común y la cautela son la principal barrera de seguridad para prevenir este tipo de amenazas. Entre las recomendaciones generales está evitar la navegación por sitios no seguros, las descargas sospechosas y no hacer clic en enlaces de mensajes dudosos.

Es recomendable evitar los entornos no profesionales y de empresas desconocidas, efectuar todas las descargas en proveedores seguros y activar y mantener mecanismos de seguridad en los equipos, como antivirus, antispam o cortafuegos.

Es por ello que se hace necesario cerciorarse bien, de quienes serán tus proveedores de servicios y los productos antivirus a utilizar para tus equipos, en este sentido, AntivirusAmericas, es la mejor opción para confiar el cuidado de tus equipos y datos, contamos con profesionales expertos de amplia experiencia y compromiso con sus usuarios, además de tener el más potente producto Avast Antivirus, que hará de tu experiencia de protección la más segura, confiable y completa.

 

Judith Barrios

judithb@antivirusamericas.com