Symantec ha incautado una parte de los 1.9 millones de equipos infectados que forman parte de la botnet ZeroAccess, una de las botnet más grandes que ha existido.

En una entrada publicada en el blog oficial, la firma de seguridad declaró que la botnet ZeroAccess es utilizada principalmente para distribuir payloads, o instrucciones, a las computadoras infectadas, las cuales tienen como objetivo dos actividades ilegales muy lucrativas: fraude de clics y mina de Bitcoins.

Un tipo de payload que está asociado frecuentemente con ZeroAccess es un troyano diseñado para realizar fraudes de clics. Una vez instalado en una computadora, el troyano descarga anuncios y genera clics artificiales que pueden generar ingresos a través de los esquemas de publicidad de pago por clic. Las computadoras bot que realizan este fraude pueden generar alrededor de 42 clics falsos por hora, de acuerdo a Symantec, estos clics falsos pueden generar una potencial ganancia de decenas de millones de dólares por año para el administrador de la botnet.

Adicionalmente, la botnet está involucrada en la mina de Bitcoins. El equipo de seguridad estima que la mina de la divisa virtual, la cual está basada en ecuaciones matemáticas, es potencialmente la actividad más intensa realizada por la botnet y consume de manera adicional 1.82 kW/h diariamente por cada equipo infectado que se deje encendido. El consumo de energía utilizado por los 1.9 millones de equipos infectados es equivalente al necesario para alimentar a 111 mil hogares diariamente.

Una de las características principales de la botnet ZeroAccess es el uso de una arquitectura de comunicaciones punto a punto (P2P, por sus siglas en inglés) para controlar a los bots. Debido a que no existe un servidor central, no es posible enfocar los esfuerzos a un solo punto para erradicar la amenaza. Este esquema P2P permite a los equipos infectados establecer comunicación entre equipos pertenecientes a la botnet para recibir instrucciones y archivos infectados de manera rápida y eficiente.

Esta comunicación constante dificulta las acciones para erradicar la botnet. Sin embargo, después de analizar la estructura, los investigadores de Symantec encontraron una forma de atacar la botnet. Una debilidad en la última versión de ZeroAccess permitió a los investigadores en seguridad implementar sinkholes en la botnet, los equipos sinkhole son equipos que forman parte de la botnet pero son controlados por los investigadores, la implementación de estos sistemas ha significado la eliminación de aproximadamente medio millón  de bots.

De acuerdo a Symantec la campaña a significado “una seria merma en el número de bots controlados por el administrador de la botnet. En nuestras pruebas bastaba con un promedio de cinco minutos de comunicaciones punto a punto para que un bot contactara un sinkhole y fuera eliminado de la botnet.”

Mientras la botnet siga en operaciones, un gran número de bots no podrá seguir recibiendo instrucciones. Symantec se encuentra trabajando en conjunto con equipos CERT e ISP para la eliminación de ZeroAcces.

A continuación te presentamos una infografía hecha por Symantec acerca del impacto de ZeroAccess