Últimas noticias
- Usuarios de Skype afectados por ransomware en anuncios maliciosos 01-Abr-2017
- Java y Flash encabezan la lista programas más obsoletos 31-Mar-2017
- Apple soluciona error en Safari usado en ataques de ransomware 28-Mar-2017
- Utilizan botnet GiftGhostBot para robar saldos de tarjetas de regalo 28-Mar-2017
- Expertos señalan que hay archivos sensibles expuestos en Docs.com 28-Mar-2017
- Spammers modifican archivos RTF para ocultar malware 27-Mar-2017
- Estafas de bitcoins infestan las redes sociales 25-Mar-2017
Desmantelamiento de Citadel también afectó a los investigadores de seguridad
La semana pasada, Microsoft desmontó más de 1462 botnets, y su acción comenzó a ser cuestionada por el daño colateral y su eficacia.
Un investigador de seguridad suizo abuse.ch, reportó que, de los dominios neutralizados por Microsoft, se estima que el 25% de las operaciones sinkholes fueron operados por los investigadores de seguridad. Sophos también declara que, de acuerdo con una toma instantánea de 72 servidores de Citadel C&C, más del 50% no estaban en la lista de Microsoft para derribarlos, el 29% estaban en la lista y el sinkholed, mientras que el 20% se quedaron aparentemente intactos a pesar de estar en la lista.
Sinkholing es una técnica en la que un dominio de mando y de control (command-and-control) de una botnet se redirige a un servidor (que está bajo el control de un investigador de seguridad) que se puede utilizar para medir el tráfico y actividad asociada a la botnet. El derribo de Microsoft involucró sinkholing a los dominios que había recopilado y redireccionado a los dominios de sus servidores. Esto parece haber incluido no solo los dominios donde aplicaron la técnica sinkholed por abuse.ch, sino que se incluyó a los que pertenecen a otros investigadores de seguridad. Las bots conectadas al sinkhole de Microsoft parecen estar recibiendo los archivos de configuración válidos que eliminan el bloqueo de dominios de los antivirus que permiten a los sistemas actualizar sus AV y, con suerte, eliminan las botnets de ellos.
Los nuevos archivos de configuración también redirigen la botnet para microsoftinternetsafety.net en un intento de atrapar el control del C&C. El investigador señaló que los operadores de la sinkhole habían considerado esta línea de acción en el pasado, pero, sobre todo, se llegó a la conclusión de que hacer un cambio no autorizado a una computadora, aunque estuviera bajo el control de una botnet, podría interpretarse como una violación de las leyes locales. Por lo tanto, se decidió no hacerlo.
El investigador abuse.ch criticó el manejo de Microsoft con respecto al desmonte, pues cree que tuvo poco efecto en los cibercriminales que, muy probablemente, volverán con defensas más eficaces para sus botnets. Al mismo tiempo, la Fundación Shadowserver, a quien se le hizo pasar lo datos del investigador abuse.ch, será incapaz de informar sobre "varias miles de computadoras infectadas de Citadel".
