• Tweet

La botnet Miner se ha recargado: además de los componentes minados de Bitcoin, ahora incluye un módulo que trata de dar de baja sitios web específicos. Sus objetivos principales son servidores alemanes de entrega de pizzas y portales de agencias del Estado.

La botnet lo tiene todo. En primer lugar, en vez de comunicarse a través de un servidor de control central, utiliza una red peer to peer distribuida. Su propósito primario inicial fue “minar” bitcoins, un tipo de moneda virtual en línea. Pero el especialista en seguridad de Kaspersky ,Tillman Werner, ha descubierto que máquinas infectadas han descargado últimamente un nuevo archivo, ddhttp.exe. En un análisis más detallado, este archivo resulta ser la versión de un bot usado para ataques de “inundación HTTP”, los cuales son capaces de deshabilitar servidores web al bombardearlos con peticiones.

El programa obtiene regularmente una lista de víctimas desde la botnet. Werner comentó a asociados de The H Security que el ataque parece estar limitado a 31 sitios web alemanes y dos asutriacos, en industrias específicas. Todos los objetivos son portales de agencias del Estado o sitios de la industria de comida, como los servicios de entrega de pizza.

Poco después, otro módulo de Negación de Servicio Distribuido (DDoS) fue descargado, esta vez para ataques de inundación UDP. La lista de objetivos es más pequeña, pero no menos interesante. Incluye direcciones IP pertenecientes a compañías que proporcionan servicios para defenderse de ataques DDoS. Ésta puede ser la reacción del opereador de la bot ante las medidas tomadas por sus víctimas con el objetivo de incrementar los estragos.

En respuesta a solicitudes de información por Kaspersky, algunas de las compañías en la lista han confirmado que han sufrido ataques DDoS que involucraron cientos de miles de sistemas atacantes. Una de las víctimas más prominentes es pizza.de. Durante un ataque, la compañía registró ataques desde 50,000 IPs aproximadamente, generando entre 20,000 a 30,000 peticiones por segundo, en un periodo de 3 horas.

El motivo detrás de estos ataques permanece incierto. Afortunadamente, ayer al parecer cesaron. La botnet está, sin embargo, allá afuera; redes peer to peer (P2P) no son fáciles de desmantelar. El peor escenario es que el disparo inicial de advertencia vaya seguido de ataques más persistentes.