Noticias

El ecosistema de las botnets

Con la aparición de las botnets, los delincuentes han obtenido acceso a millones de ordenadores infectados y la cantidad de delitos cibernéticos ha crecido cientos de veces. La mayoría de los usuarios de Internet están conscientes del peligro que representan, pero son poquísimos los que saben cuales son los factores que impulsan su desarrollo.

Las botnets son el fundamento de la delincuencia cibernética y funcionan como un eslabón que vincula sus diferentes partes. Para orientarse en el tema, no hace falta realizar complejas investigaciones técnicas: los delincuentes discuten sus asuntos de negocios en Internet y se puede llegar a comprender muchas cosas al visitar los sitios web donde lo hacen.

Las botnets son muy populares entre los delincuentes cibernéticos de Rusia, por eso la mayoría de los dueños de botnets entablan relaciones de negocios en el sector ruso de Internet. Y esta también es la razón por la que los textos de las capturas de pantallas de este artículo están en ruso (la traducción va debajo de las figuras).

Los proveedores de servicios delictivos cibernéticos

Como en cualquier negocio bien desarrollado, en el negocio del delito cibernético existen especialistas para cada caso. Empezaremos nuestra investigación en la red buscando los sitios web donde los delincuentes cibernéticos ofrecen bienes y servicios. Los principales consumidores de este tipo de bienes y servicios son los dueños de las botnets.

Elaboración de códigos maliciosos

La mayor parte de los delitos que se comenten en Internet están relacionados directa o indirectamente con los programas maliciosos: todo tipo de virus, programas troyanos, gusanos de red y aplicaciones para lanzar ataques a equipos remotos a través de las redes informáticas. El código malicioso quizá sea el principal instrumento del delincuente que se apresta a cometer un delito cibernético.

Los principales clientes de los elaboradores de programas maliciosos son los dueños de botnets, que no solo usan estos programas para crear redes zombi, sino también para recopilar datos confidenciales de los equipos infectados, enviar spam, convertir los ordenadores en servidores proxy, además de propagar antivirus falsos y programas publicitarios.

Los desarrolladores de programas maliciosos y los dueños de botnets tienen intereses comunes y comprenden que su éxito depende de los resultados de su trabajo conjunto. El dueño de una gran botnet necesita constantemente nuevos programas maliciosos y el desarrollador que los escribe necesita un cliente fiable y permanente.

En el Internet de hoy es fácil encontrar personas que desarrollan códigos maliciosos por encargo, ya que ponen sus anuncios en los foros de hackers. En estos foros se buscan la vida los delincuentes cibernéticos, y a veces los estafadores. Haciéndose pasar por hackers, esta gente engaña a los usuarios, quienes llegan a la conclusión de que un hacker es siempre un delincuente.

He aquí un anuncio típico en los foros de hackers:

 

Escribo troyanos a pedido

Envíeme sus pedidos de troyanos a deloader@mail.com
Indique en el mensaje qué funciones necesita en el troyano. Escribo BackDoors y troyanos de correo.
El tiempo de creación (de 1 a 3 días) y el precio son negociables, pero puedo asegurarle que quedará satisfecho. No exijo pago adelantado.
+ Como regalo adicional, recibirá un Joiner indetectable (también de mi creación).

El usuario que puso este aviso ofrece crear un programa troyano con las funciones que el cliente necesite. De forma adicional a la programación de código malicioso, ofrece adquirir un programa del tipo Joiner, que permite incrustar cualquier programa nocivo en el ejecutable de una aplicación legítima.

Con gran frecuencia, las habilidades de los visitantes asiduos de los foros de hackers les alcanzan sólo para crear programas que roban contraseñas. Sin embargo, además de estos foros existen recursos en los que traban relaciones verdaderos profesionales. Por lo general, se trata de solitarios que se dedicaron a estudiar los asuntos relacionados con la seguridad de Windows y alcanzaron tal profundidad de conocimiento de las debilidades y detalles de los sistemas Windows, que podrían competir con los programadores de Microsoft. Al no encontrar una aplicación digna a sus conocimientos, los usan para producir armas cibernéticas. Estos delincuentes informáticos crean programas maliciosos que son realmente serios y complicados, tanto, que para detectarlos y eliminarlos hay que poseer un nivel de conocimientos igual o más profundo. Las tecnologías usadas en sus productos les causan muchos problemas a los desarrolladores de programas antivirus y a los grandes proveedores de Internet.

Por fortuna, los autores de la mayor parte de los anuncios de venta de programas maliciosos son creadores de virus principiantes o de nivel semiprofesional que están buscando clientes. Como en cualquier negocio, aquí también hay bribones. Al pasar cierto tiempo, los moderadores del foro les ponen la marca de “estafa” a muchos de estos anuncios. Esto es una señal de que la persona que puso el anuncio ya ha engañado a alguien y de que el moderador ha recibido una referencia negativa de uno de los clientes estafados. ¿Y qué más se podría esperar de estos insignificantes delincuentes?

En v La existencia del problema de la confianza hacia los proveedores de servicios y bienes hace que en el mercado cibercriminal surja un peculiar personaje, que controla las relaciones de confianza, que se ha dado en denominar “garante”.

Los garantes

La tarea del garante es garantizar que el comprador reciba los bienes o servicios y el vendedor, su dinero. La principal cualidad del garante es que debe ser independiente de las partes que pactan un acuerdo en Internet. A veces el garante también se encarga de verificar que los servicios o bienes ofertados corresponden a las exigencias o tienen las cualidades declaradas. El vendedor de códigos programados o de servicios cibernéticos delictivos tiene muchas más posibilidades de vender sus bienes o servicios si estos han sido comprobados por un garante conocido. Los garantes también toman parte en los tratos de compraventa de botnets o sus componentes, por ejemplo, bots.

Por lo general, son los moderadores de foros populares entre los hackers los que se convierten en garantes. El proceso de evolución de los garantes ha pasado por varias etapas, desde los simples acuerdos en los foros entre tres personas conocidas entre sí hasta la descripción formal de las funciones del garante y las condiciones de la firma del contrato en algo que recuerda un acuerdo jurídico sobre las funciones del garante.

Más abajo presentamos algunos fragmentos de estos acuerdos que describen el trabajo del garante y el pago de sus servicios:

 

En los sitios donde trabajan los garantes, se puede encontrar listas de diferentes servicios y bienes virtuales ofrecidos por los delincuentes cibernéticos. Entre ellos hay servicios que son del interés de los dueños de botnets: cifrado y empaquetamiento de códigos nocivos, exploits para navegadores, tráfico y posting.

Cifrado y empaquetamiento de código malicioso

Los delincuentes, para poder realizar con éxito sus ataques cibernéticos, necesitan algo más que desarrollar o comprar un programa malicioso, ya que cuando este software empieza a utilizarse de forma activa, de inmediato cae en manos de las compañías antivirus que no tardan casi nada en preparar su antídoto. Por esta razón uno de los servicios que gozan de popularidad es el cifrado o empaquetamiento del código malicioso. Éste permite evitar la detección del fichero ejecutable, pero conservando sus funcionalidades. En la comunidad clandestina este servicios se llama “criptá” (del inglés “to encrypt”, cifrar).

A veces los proveedores de estos servicios prestan también servicios de cifrado de determinadas familias de programas maliciosos. Esto se debe a que las compañías antivirus poseen métodos heurísticos capaces de detectar determinadas familias que son más difíciles de engañar que la detección según firmas.

 

En el anuncio de más arriba el autor ofrece cifrar un bot conocido como Zevs (Zeus), como también cifrar cualquier otro código malicioso. El cifrado de Zeus cuesta más porque es un programa exclusivo que no puede ser sustituido por otros programas populares de cifrado de ficheros ejecutables.

Exploits para navegadores

Los exploits han sido siempre un tema candente y entre los delincuentes sigue creciendo la popularidad de los sistemas similares a ExploitPack. Estos sistemas permiten infectar de forma que pasan inadvertidos al ordenador de los visitantes de sitios web que no tienen su navegador actualizado. El ataque se dirige al navegador y sus componentes (por ejemplo, Adobe Flash y otros).

Si bien antes ExploitPack se vendía como un producto que no necesitaba “asistencia técnica”, ahora el usuario no sólo quiere recibir soporte, sino también actualizaciones del programa.

 

———- Neon (exploit system) 1.0.2 ru ———-
— Descripción —
[01] Estadística del tráfico de los vendedores, es decir, control del tráfico para constatar la honestidad del vendedor cuando el tráfico
proviene de varias fuentes.
Cada vendedor recibe un vínculo único para su tráfico;
[02] Diseño gráfico cómodo;
[03] Se visualizan los ataques a MSIE y el tráfico general;
[04] Cifrado de frames incorporado;
[05] Posibilidad de deshabilitar los exploits que “congelan” el navegador;
[06] Posibilidad de cargar ficheros directamente desde el centro de administración;
[07] Bloqueo de visitas redundantes;
[08] Carga mínima en el servidor;
[09] Instalación simple;
[10] No necesita MySQL;
[11] Estadística según sistemas operativos;
[12] Estadística según navegadores;
[13] Estadística según referentes;
[14] Estadística de IP infectadas;
[15] Estadística según países;
[16] Routing automático;
[17] Cada cliente recibe una firma individual;

Exploits incluidos en la suite:
MDAC – exploits dirigido a versiones antiguas de IE, pero que aún da un buen %;
PDF exploits – exploit original que afecta a todos los navegadores si Adobe Reader están instalado. Consiste en dos vulnerabilidades, Collab.collecEmailInfo y Util.printf (nuevo);
Snapshot (Office) – exploits que afecta a MSIE 6 y MSIE 7 (no se anota en autostart, sino que se ejecuta de inmediato);
Flash—excelente exploit que afecta a todos los navegadores que tengan instalado Macromedia Flash 9 o inferior;
BOF – conjunto de exploits Buffer Overflow. Se han agregado sólo los programas de más vigencia en este momento y que proporcionan un pequeño aumento a la efectividad del ataque;
La suite se irá perfeccionando con el tiempo: se aumentarán funciones, nuevos exploits (con buenos índices), se optimizará el cifrado, etc.
El precio puede aumentar, pero no para los clientes ya existentes.
En este momento el precio de la suite es de 400 dólares. ICQ

La aparición de nuevos exploits provoca una nueva ola de interés hacia este tipo de sistemas y puede hacer que sus precios suban. Y fue precisamente esto lo que pasó a finales de 2008: en la captura de pantalla de más abajo, el desarrollador del sistema ExploitPack anuncia que el precio sube de 400 a 500 dólares porque se está añadiendo un exploit para una nueva vulnerabilidad detectada en Microsoft Internet Explorer 7.

 

Se ha agregado un exploits para IE7 que por el momento da excelentes resultados.

Precio de la suite 500 dólares.

Tráfico

En las comunidades informáticas clandestinas se entiende por “tráfico” las solicitudes de los usuarios remitidas desde recursos web legítimos (pero infectados) a los sitios de los delincuentes. Otra manera de obtener “tráfico” es hacer que los usuarios sigan los enlaces contenidos en mensajes spam: los delincuentes organizan el envío masivo con enlaces que conducen a sus sitios. El envío masivo se realiza por correo electrónico o servicios de mensajería instantánea (por ejemplo, ICQ).

Los delincuentes pueden obtener acceso a los sitios web comprando cuentas y contraseñas a una categoría especial de delincuentes cibernéticos que se dedica a la búsqueda, robo y venta de este tipo de mercancía.

Después de obtener acceso a los sitios web, los delincuentes, con la ayuda de una tag HTML iframe, pueden modificar las páginas web.

Como resultado de estas modificaciones, se redirige a los usuarios desde la página modificada a las páginas web que el delincuente quiera. Si son muchas las páginas modificadas, el delincuente puede redireccionar miles de visitantes. Y si los delincuentes usan métodos automáticos, pueden modificar varios miles de páginas web por hora.

 

Se vende tráfico iframe, de 7 a 10 kb tráfica cada 24 horas
El tráfico es sobre todo del dominio .ru, 60%
Precio del tráfico 4 wmz
El tráfico se dirige sólo a los sitios que los antivirus no detectan.
Si tu programa o suite es detectada por los antivirus, se eliminará tu pedido y no se te devolverá el dinero.
Escribe por correo electrónico o ICQ *****

¡Pago adelantado o a través de garante!

Por lo general, el “tráfico” es la parte más barata del servicio y cuesta de 0,5 a 1 dólar por cada mil usuarios.

Los propietarios de botnets compran el tráfico y remiten a los usuarios de los sitios legales infectados a páginas que contienen exploits frescos. Si después de la redirección el ataque al navegador pasa con éxito, el ordenador del visitante se infecta y pasa a convertirse en parte de la botnçet.

Hosting

Otro lucrativo tipo de negocio en el mundo del delito cibernético es la prestación de servicios de hosting a prueba de abusos. A los propietarios de estos hostings no les interesa qué tipo de contenidos ponen sus clientes, y como si esto fuera poco, les dan garantías de que no prestarán atención a las quejas de los visitantes o de terceros proveedores de hosting.

 

Ofrecemos servicios de alta en dominios a prueba de abuso. Desde hace bastante tiempo registramos dominios para:
– DNS
– Pharma
– Spam (redirecciones y dominios raíz, opciones baratas para registro en masa y ejemplares únicos fiables)
– Scam
– Phishing (desde Billings de menor envergadura hasta bancos online)
– Proyectos drop
– Troyanos de cualquier tipo (entre ellos, antivirus, codecs, etc).
– Botnets
– etc
– En una palabra, la temática de tus proyectos puede ser cualquiera (excepto pornografía infantil).

El proveedor RBN, clausurado en 2007 y que causó tanto revuelo en la prensa rusa y del resto del mundo era uno de ellos. Hasta ahora, en diferentes niveles, siguen apareciendo hostings similares, ya sea de gran magnitud o pequeños proveedores de hosting “a prueba de abuso”.

 
Ofertas de diferentes servicios para ciberdelincuentes

Son muchos los que quieren comprar este tipo de hosting, y de conformidad con las leyes del mercado, la demanda continúa generando oferta. Los foros siguen llenos de ofertas de venta de hosting a prueba de abuso. Son precisamente estos proveedores los que buscan a los propietarios de botnets que necesitan un lugar seguro para organizar el centro de administración de su botnet.

Los consumidores de servicios cibercriminales

Hasta ahora hemos escrito sobre los proveedores de bienes y servicios en el mercado del delito cibernético. Sin embargo el papel de los compradores en este mercado es aún más importante.

Son ellos quienes realizan los ataques masivos contra los usuarios y obtienen acceso no autorizado a los datos y recursos de los ordenadores infectados.

Y también son ellos quienes reciben las ganancias más altas al robar dinero electrónico y real de las tarjetas de crédito. Estos delincuentes suelen mantenerse aislados y es raro que estén relacionados con los delincuentes más capacitados que crean los códigos maliciosos.Y con gran frecuencia son estos clientes de servicios delictivos los que sacan más provecho de las botnets. Las principales categorías de usuarios de servicios cibercriminales interesados en las botnets son: los carders, los extorsionadores y la competencia desleal.

Spammers y carders

 
Oferta de servicios relacionados con el carding

Uno de los primeros tipos de delitos que surgieron en la red global fue el carding. Los carders lucran usando tarjetas de crédito robadas e información sobre sus titulares. Esta categoría de ciberdelincuentes tiene sus propios foros temáticos, donde se analizan los aspectos organizativos del lavado de dinero y su conversión en liquidez. En vista de que las maquinaciones con tarjetas de crédito son trucos financieros, los carders, más que otros delincuentes cibernéticos, se preocupan de su propio anonimato y seguridad. En la captura de pantalla vemos el contenido de un típico foro de carders. En foros como éste se puede adquirir tarjetas de crédito virtuales, es decir, sólo los datos de la tarjeta de crédito y su propietario. Allí también se puede negociar la compra de tarjetas de crédito reales (para ser más exactos, sus duplicados). En los círculos clandestinos, las tarjetas de crédito virtuales robadas se llaman “cartón” y las tarjetas reales “plástico”. En el caso las tarjetas reales, se las puede usar para sacar dinero de los cajeros automáticos. Para que el banco no sospeche nada, el dinero lo saca un intermediario que vive en la misma región que el propietario de la tarjeta real. En el caso del “cartón”, el dinero pasa antes por un proceso de lavado. Existen varios métodos populares para lavar el dinero: comprar con las tarjetas robadas mercancía real en tiendas reales para venderla de inmediato por un precio más bajo; usar casinos online para transferir el dinero a otras cuentas; comprar bienes en las subastas online para venderlas a menor precio (a veces en la misma subasta); arrendar hosting y subarrendarlo a otros clientes por precios muy bajos. A su vez, los carders necesitan los servicios de los falsificadores de documentos. Y éste es un nicho más que está ganando popularidad en el mercado virtual.

Cuando se bloquean las cuentas en los bancos, como regla se le solicita al cliente enviar copias escaneadas para confirmar su identidad. Los propietarios de servicios de falsificación de documentos pueden falsificar cualquier documento, cuya copia tendrá el mismo aspecto que el original. Se falsifican imágenes de casi cualquier documento, incluso de permisos de conducir, pasaportes, facturas de pago de electricidad y teléfono, diplomas y hasta tarjetas de crédito.

El papel de los carders en el mundo del delito cibernético es muy importante. Los carders son los clientes más generosos al adquirir todo tipo de programas, porque son precisamente ellos los delincuentes virtuales más ricos. Si no existiesen las botnets, sería mucho menor la cantidad de datos de las tarjetas de crédito que se podrían robar. Y considerando que los carders están interesados en aumentar las dimensiones de sus negocios, están dispuestos a pagar a aquellos que tienen más tarjetas robadas, es decir, a los propietarios de las botnets.

Los extorsionadores y la competencia desleal

Estos delincuentes cibernéticos pueden actuar sólo a través de las botnets. Su única tarea es poner fuera de combate determinada página web mediante un ataque DDoS. Los extorsionadores exigen dinero por detener los ataques DDoS, los empresarios desleales se alegran de las dificultades que esto causa a sus rivales y ganan más dinero cuando sus recursos web están inactivos. Los solicitantes de ataques DDoS no suelen publicar sus anuncios con gran frecuencia, porque temen mellar su propio anonimato ya sea directa o indirectamente. Es más, durante las vacaciones de verano a veces se pueden encontrar en la Red anuncios donde los clientes, indignados por la ausencia de proveedores de ataques DDoS tratan de encontrar a otros que puedan ofrecer el mismo servicio.

 

Por alguna razón no puedo hacer pedidos de DDoS. Todos han desaparecido…
Necesito un DDoS por 2-4 semanas desde este lunes en días hábiles (puede ser sólo de 9 a 21 hs). En casos extremos se puede empezar más tarde. Por favor, ayúdeme quién pueda. Pago mediante garante.
ICQ ********
P.S. Tu DDoS ayudará a la industria automotriz naciona. No estoy bromeando J

Los spammers

Hoy en día hay tantas ofertas de organizar envíos de spam desde servidores capturados que los clientes no tardan mucho en encontrar ejecutores. Sin embargo, cerca del 85% del spam se envía desde botnets. Como regla, los spammers reciben dinero por el envío de publicidad, el aumento las ventas de las tiendas online o los usuarios de casinos online. Los propietarios de las botnets guardan interés por estos clientes, porque el dinero que éstos les transfieren no tiene reputación de “robado”, y por lo tanto les causa menos problemas.

 
Alquilo o compro botnet. De unos 500 equipos. Para enviar spam

Conclusión

Las botnets ejercen influencia en el desarrollo de los negocios cibernéticos delictivos. Por una parte, estimulan el desarrollo de diferentes servicios en el mercado cibercriminal, ya que los propietarios de botnets son los principales clientes de servicios tales como la creación y cifrado de códigos maliciosos, la creación y soporte de exploits, el hosting a prueba de abusos y el “tráfico”. Por otra parte, las botnets son imprescindibles para la gestión exitosa de los negocios de los tiburones del mundo delictivo cibernético, es decir, los carders y los spammers.

Es por esta precisa razón que las botnets se han convertido en un factor que aglutina en un solo sistema todos los componentes del negocio cibercriminal y fomenta el movimiento de los flujos monetarios desde los que lucran con los envíos masivos hasta los autores de virus y proveedores de servicios cibercriminales.

 

El negocio cibercriminal se desarrolla en espiral. Los desarrolladores de códigos maliciosos y demás proveedores de servicios cibercriminales usan la mediación de los garantes para ofrecer servicios a los propietarios de botnets. A su vez, los dueños de botnets prestan servicios basados en las botnets de los carders, spammers y otros clientes. Al ganar dinero con el desarrollo de un programa malicioso u otros servicios, los proveedores comienzan a prestar nuevos servicios y códigos maliciosos, con lo que empieza un nuevo ciclo. Y con cada nuevo ciclo se convoca a cada vez más participantes: los clientes tratan de aumentar el flujo de dinero, y los rumores sobre los lucrativos pedidos de creación de programas nocivos se difunden en los foros de hackers y otros canales de comunicación de los delincuentes cibernéticos.

Hoy, con la ayuda de las botnets los delincuentes pueden obtener acceso no sancionado ya no a un par de equipos, sino a cientos y miles de ordenadores. Las botnets influyen en la cantidad de delitos perpetrados en Internet: gracias a las botnets la cantidad de víctimas de robo de tarjetas de crédito ha aumentado en miles de veces. Los ataques DDoS se han convertido en algo común en Internet y con la ayuda de una botnet hasta un escolar puede organizar un ataque.

Las botnets son una especie de sistema circulatorio del negocio cibercriminal, porque fomentan el movimiento de flujos monetarios entre sus participantes y el desarrollo del mundo cibercriminal en general. Por lo tanto, de lo que suceda con las botnets dependerá cómo será Internet en el futuro.

El ecosistema de las botnets

Su dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

BlindEagle vuela alto en LATAM

Kaspersky proporciona información sobre la actividad y los TTPs del APT BlindEagle. Grupo que apunta a organizaciones e individuos en Colombia, Ecuador, Chile, Panamá y otros países de América Latina.

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada