Red de bots Storm

Red de bots informáticos

La botnet Storm o Storm Worm (también conocida como Dorf botnet y malware Ecard ^[1] ) era una red controlada remotamente de computadoras "zombi" (o " botnet ") que habían sido conectadas por Storm Worm , un caballo de Troya propagado a través del correo electrónico spam . En su apogeo en septiembre de 2007, la botnet Storm se ejecutaba en entre 1 millón y 50 millones de sistemas informáticos, ^{[2] [3]} y representaba el 8% de todo el malware en computadoras Microsoft Windows . ^[4] Se identificó por primera vez alrededor de enero de 2007, habiendo sido distribuida por correo electrónico con asuntos como "230 muertos mientras la tormenta azota Europa ", lo que le dio su conocido nombre. La botnet comenzó a declinar a fines de 2007, y para mediados de 2008 se había reducido a infectar alrededor de 85.000 computadoras, mucho menos de lo que había infectado un año antes. ^[5]

Hasta diciembre de 2012, no se ha encontrado a los creadores originales de Storm. La botnet Storm ha mostrado comportamientos defensivos que indicaban que sus controladores estaban protegiendo activamente la botnet contra los intentos de seguimiento y desactivación, atacando específicamente las operaciones en línea de algunos proveedores de seguridad e investigadores que habían intentado investigarla. ^[6] El experto en seguridad Joe Stewart reveló que a fines de 2007, los operadores de la botnet comenzaron a descentralizar aún más sus operaciones, en posibles planes para vender partes de la botnet Storm a otros operadores. Se informó que era lo suficientemente potente como para obligar a países enteros a abandonar Internet , y se estimó que era capaz de ejecutar más instrucciones por segundo que algunas de las supercomputadoras más importantes del mundo . ^[7] La ​​Oficina Federal de Investigaciones de los Estados Unidos consideró que la botnet era un riesgo importante para el aumento del fraude bancario , el robo de identidad y otros delitos cibernéticos . ^{[8] [9]}

Orígenes

Detectado por primera vez en Internet en enero de 2007, el botnet y gusano Storm se llama así debido a las líneas de asunto relacionadas con storm que su correo electrónico infeccioso utilizó inicialmente, como "230 muertos mientras la tormenta azota Europa". Los temas provocativos posteriores incluyeron "Misil chino derribado avión estadounidense" y "La Secretaria de Estado de EE. UU. Condoleezza Rice ha expulsado a la Canciller alemana Angela Merkel ". ^{[2] [10] [11] Algunos profesionales} de la seguridad de la información sospechan que conocidos spammers fugitivos , incluido Leo Kuvayev , pueden haber estado involucrados en la operación y control del botnet Storm. ^[12] Según el periodista tecnológico Daniel Tynan , que escribe bajo su seudónimo " Robert X. Cringely ", gran parte de la culpa de la existencia del botnet Storm recae en Microsoft y Adobe Systems . ^[13] Otras fuentes afirman que el método principal de adquisición de víctimas del gusano Storm era atraer a los usuarios mediante esquemas de ingeniería social ( engaño de confianza ) que cambiaban con frecuencia. ^[14] Según Patrick Runald, la botnet Storm tenía un fuerte enfoque estadounidense, y probablemente tenía agentes trabajando para apoyarla dentro de los Estados Unidos. ^[15] Sin embargo, algunos expertos creen que los controladores de la botnet Storm eran rusos , algunos apuntan específicamente a la Russian Business Network , citando que el software de Storm menciona un odio hacia la firma de seguridad con sede en Moscú Kaspersky Lab , e incluye la palabra rusa "buldozhka", que significa " bulldog ". ^[16]

Composición

La botnet, o red zombi, está formada por ordenadores que utilizan Microsoft Windows como sistema operativo . ^[17] Una vez infectado, un ordenador se convierte en un bot . Este bot realiza tareas automatizadas (desde la recopilación de datos del usuario hasta el ataque a sitios web o el reenvío de correo electrónico infectado) sin el conocimiento o permiso de su propietario. Se calcula que entre 5.000 y 6.000 ordenadores se dedican a propagar la propagación del gusano mediante el uso de correos electrónicos con archivos adjuntos infectados; la botnet ha enviado 1.200 millones de mensajes de virus hasta septiembre de 2007, incluidos un récord de 57 millones tan sólo el 22 de agosto de 2007. ^[17] Lawrence Baldwin, un especialista en informática forense , dijo: "En total, Storm envía miles de millones de mensajes al día. Fácilmente, podrían ser cifras de dos dígitos en miles de millones". ^[2] Uno de los métodos utilizados para atraer a las víctimas a los sitios web que alojan infecciones son las ofertas de música gratuita, de artistas como Beyoncé Knowles , Kelly Clarkson , Rihanna , The Eagles , Foo Fighters , R. Kelly y Velvet Revolver . ^[18] La detección basada en firmas, la principal defensa de la mayoría de los sistemas informáticos contra infecciones de virus y malware, se ve obstaculizada por la gran cantidad de variantes de Storm. ^[19]

Los servidores back-end que controlan la propagación de la botnet y del gusano Storm recodifican automáticamente su software de infección distribuido dos veces por hora, para nuevas transmisiones, lo que dificulta a los proveedores de antivirus detener la propagación del virus y la infección. Además, la ubicación de los servidores remotos que controlan la botnet se oculta detrás de una técnica de DNS que cambia constantemente llamada " fast flux ", lo que dificulta encontrar y detener los sitios de alojamiento de virus y los servidores de correo. En resumen, el nombre y la ubicación de dichas máquinas se cambian y rotan con frecuencia, a menudo minuto a minuto. ^[20] Los operadores de la botnet Storm controlan el sistema mediante técnicas peer-to-peer , lo que dificulta la monitorización externa y la desactivación del sistema. ^{[21] [22]} No hay un " punto de comando y control " central en la botnet Storm que pueda cerrarse. ^[23] La botnet también hace uso de tráfico cifrado . ^[24] Los esfuerzos para infectar computadoras generalmente giran en torno a convencer a las personas para que descarguen archivos adjuntos de correo electrónico que contienen el virus mediante una manipulación sutil . En una ocasión, los controladores de la botnet aprovecharon el fin de semana de apertura de la Liga Nacional de Fútbol Americano , enviando correos electrónicos ofreciendo "programas de seguimiento de partidos de fútbol" que no hacían nada más que infectar el ordenador del usuario. ^{[25] [26]} Según Matt Sergeant, jefe de tecnología antispam de MessageLabs, "en términos de potencia, [la botnet] supera por completo a las supercomputadoras. Si sumamos las 500 supercomputadoras más importantes, las supera a todas con tan sólo 2 millones de sus máquinas. Es muy aterrador que los delincuentes tengan acceso a tanta potencia informática, pero no hay mucho que podamos hacer al respecto". ^[17] Se estima que actualmente sólo se utiliza entre el 10 y el 20% de la capacidad y potencia totales de la botnet Storm. ^[27]

El experto en seguridad informática Joe Stewart detalló el proceso por el cual las máquinas comprometidas se unen a la botnet: los intentos de unirse a la botnet se realizan ejecutando una serie de archivos EXE en la máquina comprometida, en etapas. Por lo general, se nombran en una secuencia desde game0.exe hasta game5.exe , o similar. Luego continuará ejecutando ejecutables por turno. Por lo general, realizan lo siguiente: ^[28]

1. game0.exe– Puerta trasera /descargador
2. game1.exe– Retransmisión SMTP
3. game2.exe– Ladrón de direcciones de correo electrónico
4. game3.exe– Difusor de virus por correo electrónico
5. game4.exe– Herramienta de ataque de denegación de servicio distribuido (DDoS)
6. game5.exe– Copia actualizada del gotero Storm Worm

En cada etapa, el sistema comprometido se conectará a la botnet; el DNS de flujo rápido hace que el seguimiento de este proceso sea excepcionalmente difícil.

Este código se ejecuta desde %windir%\system32\wincom32.sys en un sistema Windows, a través de un rootkit del kernel , y todas las conexiones a la botnet se envían a través de una versión modificada del protocolo de comunicaciones eDonkey / Overnet .

Método

La botnet Storm y sus variantes emplean una variedad de vectores de ataque, y también existe una variedad de medidas defensivas. Se observó que la botnet Storm se defendía a sí misma y atacaba sistemas informáticos que escaneaban en línea sistemas informáticos infectados con el virus Storm. ^[29] La botnet se defenderá con contraataques DDoS para mantener su propia integridad interna. ^[30] En ciertos momentos, el gusano Storm utilizado para propagar la botnet ha intentado publicar cientos o miles de versiones de sí mismo en Internet, en un intento concentrado de abrumar las defensas de las empresas de seguridad antivirus y antimalware. ^[31] Según Joshua Corman, un investigador de seguridad de IBM , "Esta es la primera vez que recuerdo haber visto a investigadores que realmente tenían miedo de investigar un exploit". ^[32] Los investigadores aún no están seguros de si las defensas y los contraataques de la botnet son una forma de automatización o ejecutados manualmente por los operadores del sistema. ^[32] "Si intentas conectar un depurador o consultar los sitios a los que está informando, lo sabrá y te castigará instantáneamente. [En] SecureWorks , una parte de él realizó un ataque DDoS [de denegación de servicio distribuido] contra un investigador y lo sacó de la red. Cada vez que oigo que un investigador está intentando investigar, lo castigan automáticamente. Sabe que lo están investigando y lo castiga. Contraataca", dijo Corman. ^[1]

Spameater.com, así como otros sitios como 419eater.com y Artists Against 419 , ambos dedicados al fraude por correo electrónico spam 419 , han sufrido ataques DDoS , que los han dejado temporalmente completamente inoperativos. Los ataques DDoS consisten en realizar llamadas masivas de red paralelas a esas y otras direcciones IP de destino, sobrecargando las capacidades de los servidores e impidiéndoles responder a las solicitudes. ^[33] Otros grupos antispam y antifraude, como el Proyecto Spamhaus , también fueron atacados. El webmaster de Artists Against 419 dijo que el servidor del sitio web sucumbió después de que el ataque aumentara a más de 100 Mbit . Se perpetraron ataques similares contra más de una docena de hosts de sitios antifraude. Jeff Chan, un investigador de spam, afirmó: "En términos de mitigación de Storm, es un desafío en el mejor de los casos e imposible en el peor, ya que los malos controlan cientos de megabits de tráfico. Hay algunas pruebas de que pueden controlar cientos de gigabits de tráfico, lo que es suficiente para obligar a algunos países a abandonar Internet". ^[7]

Los sistemas de la botnet Storm también toman medidas para defenderse localmente, en los sistemas informáticos de las víctimas. La botnet, en algunos sistemas comprometidos, crea un proceso informático en la máquina Windows que notifica a los sistemas Storm cada vez que se inicia un nuevo programa u otros procesos. Anteriormente, los gusanos Storm indicaban localmente a los demás programas, como el software antivirus o antimalware, que simplemente no se ejecutaran. Sin embargo, según la investigación de seguridad de IBM, las versiones de Storm ahora también simplemente "engañan" al sistema informático local para que piense que ha ejecutado el programa hostil con éxito, pero en realidad no están haciendo nada. "Los programas, incluidos no solo los archivos .exe , .dll y sys de AV , sino también software como las aplicaciones P2P BearShare y eDonkey , parecerán ejecutarse correctamente, aunque en realidad no hagan nada, lo que es mucho menos sospechoso que un proceso que se termina de repente desde el exterior", dijo Richard Cohen de Sophos . Los usuarios comprometidos, y los sistemas de seguridad relacionados, asumirán que el software de seguridad se está ejecutando correctamente cuando en realidad no es así. ^[34]

El 17 de septiembre de 2007, un sitio web del Partido Republicano en los Estados Unidos fue comprometido y utilizado para propagar el gusano Storm y la botnet. ^{[35] [36]} En octubre de 2007, la botnet aprovechó las fallas en la aplicación captcha de YouTube en sus sistemas de correo, para enviar correos electrónicos spam dirigidos a los propietarios de Xbox con una estafa que involucraba ganar una versión especial del videojuego Halo 3. [ ^37] Otros métodos de ataque incluyen el uso de atractivas imágenes animadas de gatos riendo para hacer que las personas hagan clic en una descarga de software troyano y engañar a los usuarios del servicio GeoCities de Yahoo! para que descarguen software que se afirmaba que era necesario para usar GeoCities. ^{[38] [39]} El ataque GeoCities en particular fue llamado un "vector de ataque en toda regla" por Paul Ferguson de Trend Micro , e implicó a miembros de Russian Business Network , un conocido servicio de spam y malware. ^[39] En la víspera de Navidad de 2007, la botnet Storm comenzó a enviar mensajes con temas festivos que giraban en torno al interés de los hombres por las mujeres, con títulos como "Encuentra algo de cuento de Navidad", "Las doce chicas de Navidad" y "¡La señora Claus está fuera esta noche!" y fotos de mujeres atractivas. Se describió como un intento de atraer más sistemas desprotegidos a la botnet y aumentar su tamaño durante las vacaciones, cuando las actualizaciones de seguridad de los proveedores de protección pueden tardar más en distribuirse. ^{[40] [41]} Un día después de que se distribuyeran los correos electrónicos con strippers navideñas, los operadores de la botnet Storm comenzaron inmediatamente a enviar nuevos correos electrónicos infectados que afirmaban desear a sus destinatarios un "¡Feliz Año Nuevo 2008!" ^{. [42]}

En enero de 2008, se detectó por primera vez que la botnet estaba implicada en ataques de phishing contra importantes instituciones financieras, dirigidos tanto a Barclays como a Halifax . ^[43]

Encriptación y ventas

Alrededor del 15 de octubre de 2007, se descubrió que partes de la botnet Storm y sus variantes podrían estar a la venta. ^{[44] [45]} Esto se está haciendo mediante el uso de claves de seguridad únicas en el cifrado del tráfico de Internet y la información de la botnet. ^[24] Las claves únicas permitirán que cada segmento, o subsección de la botnet Storm, se comunique con una sección que tenga una clave de seguridad coincidente. Sin embargo, esto también puede permitir que las personas detecten, rastreen y bloqueen el tráfico de la botnet Storm en el futuro, si las claves de seguridad tienen longitudes y firmas únicas. ^[44] El proveedor de seguridad informática Sophos ha estado de acuerdo con la evaluación de que la partición de la botnet Storm indicaba una probable reventa de sus servicios. Graham Cluley de Sophos dijo: "El uso de tráfico cifrado por parte de Storm es una característica interesante que ha llamado la atención en nuestro laboratorio. Su uso más probable es que los cibercriminales alquilen partes de la red para su uso indebido. No sería una sorpresa si la red se utilizara para enviar spam, ataques distribuidos de denegación de servicio y otras actividades maliciosas". ^[46] Los expertos en seguridad informaron que si Storm se desmantela para el mercado de malware, en forma de un "kit de spam listo para usar para crear botnets", el mundo podría ver un aumento brusco en el número de infecciones relacionadas con Storm y sistemas informáticos comprometidos. ^[47] El cifrado sólo parece afectar a los sistemas comprometidos por Storm a partir de la segunda semana de octubre de 2007 en adelante, lo que significa que cualquiera de los sistemas informáticos comprometidos después de ese período de tiempo seguirá siendo difícil de rastrear y bloquear. ^[48]

A los pocos días de descubrirse esta segmentación de la botnet Storm, los principales proveedores de seguridad descubrieron correos electrónicos spam de la nueva subsección. El 17 de octubre por la tarde, los proveedores de seguridad comenzaron a ver nuevos mensajes spam con archivos de sonido MP3 integrados , que intentaban engañar a las víctimas para que invirtieran en acciones de centavos , como parte de una estafa bursátil ilegal de bombeo y descarga de acciones. Se creía que esta era la primera estafa de correo electrónico spam que utilizaba audio para engañar a las víctimas. ^[49] Sin embargo, a diferencia de casi todos los demás correos electrónicos relacionados con Storm, estos nuevos mensajes de audio de estafa bursátil no incluían ningún tipo de virus o malware de Storm; simplemente eran parte de la estafa bursátil. ^[50]

En enero de 2008, se detectó por primera vez que la botnet estaba involucrada en ataques de phishing contra clientes de importantes instituciones financieras, dirigidos a establecimientos bancarios en Europa, incluidos Barclays , Halifax ^[43] y el Royal Bank of Scotland ^[51] . Las claves de seguridad únicas utilizadas indicaron a F-Secure que se estaban arrendando segmentos de la botnet. ^[51]

Afirman que la botnet ha desaparecido

El 25 de septiembre de 2007, se estimó que una actualización de Microsoft a la herramienta de eliminación de software malintencionado de Windows (MSRT) podría haber ayudado a reducir el tamaño de la botnet hasta en un 20%. ^[52] El nuevo parche, como afirma Microsoft, eliminó Storm de aproximadamente 274.372 sistemas infectados de los 2,6 millones de sistemas Windows analizados. ^[53] Sin embargo, según el personal de seguridad de Microsoft, "es probable que las más de 180.000 máquinas adicionales que MSRT ha limpiado desde el primer día sean máquinas de usuarios domésticos que no se incorporaron de forma notable a la operación diaria de la botnet 'Storm'", lo que indica que la limpieza de MSRT puede haber sido simbólica en el mejor de los casos. ^[54]

A finales de octubre de 2007, algunos informes indicaban que la botnet Storm estaba perdiendo el tamaño de su huella en Internet y se había reducido significativamente. ^[55] Brandon Enright, un analista de seguridad de la Universidad de California en San Diego , estimó que a finales de octubre la botnet había caído a un tamaño de aproximadamente 160.000 sistemas comprometidos, desde el máximo estimado anterior de Enright en julio de 2007 de 1.500.000 sistemas. ^[56] Enright señaló, sin embargo, que la composición de la botnet estaba cambiando constantemente y que todavía se estaba defendiendo activamente contra los ataques y la observación. "Si eres un investigador y visitas demasiado las páginas que alojan el malware... hay un proceso automatizado que lanza automáticamente un [ataque] de denegación de servicio contra ti", dijo, y agregó que su investigación provocó un ataque de botnet Storm que dejó fuera de línea parte de la red de la UC San Diego. ^[57]

La empresa de seguridad informática McAfee ha dicho que el gusano Storm sería la base de futuros ataques. ^[58] Craig Schmugar, un conocido experto en seguridad que descubrió el gusano Mydoom , calificó a la botnet Storm como una creadora de tendencias, lo que ha llevado a un mayor uso de tácticas similares por parte de los delincuentes. ^[59] Una de estas botnets derivadas ha sido bautizada como "Celebrity Spam Gang", debido a su uso de herramientas técnicas similares a las de los controladores de la botnet Storm. Sin embargo, a diferencia de la sofisticada ingeniería social que utilizan los operadores de Storm para atraer a las víctimas, los spammers de Celebrity hacen uso de ofertas de imágenes de desnudos de celebridades como Angelina Jolie y Britney Spears . ^{[60] Los expertos en seguridad} de Cisco Systems declararon en un informe que creen que la botnet Storm seguiría siendo una amenaza crítica en 2008, y dijeron que estimaban que su tamaño se mantenía en los "millones". ^[61]

A principios de 2008, la botnet Storm también encontró competencia comercial en su economía de sombrero negro, en la forma de Nugache, otra botnet similar que se identificó por primera vez en 2006. Los informes han indicado que puede estar en marcha una guerra de precios entre los operadores de ambas botnets, por la venta de su entrega de correo electrónico spam. ^[62] Después de las vacaciones de Navidad y Año Nuevo de 2007-2008, los investigadores del Proyecto Honeynet alemán informaron que la botnet Storm puede haber aumentado de tamaño hasta en un 20% durante las vacaciones. ^[63] El informe de MessageLabs Intelligence de marzo de 2008 estima que más del 20% de todo el spam en Internet se origina en Storm. ^[64]

Estado actual de la botnet

La red de bots Storm envió spam durante más de dos años hasta su declive a finales de 2008. ^[65] Un factor en esto (debido a que hizo menos interesante para los creadores mantener la red de bots) puede haber sido la herramienta Stormfucker ^[66] , que hizo posible tomar el control de partes de la red de bots. ^[67]

Robot de tormenta 2

El 28 de abril de 2010, McAfee anunció que los llamados "rumores" sobre un Stormbot 2 habían sido confirmados. Mark Schloesser, Tillmann Werner y Felix Leder, los investigadores alemanes que trabajaron mucho en el análisis del Storm original, descubrieron que alrededor de dos tercios de las "nuevas" funciones son una copia y pega del código base del Storm original. Lo único que falta es la infraestructura P2P , tal vez debido a la herramienta que utilizó P2P para derribar el Storm original. El blog Honeynet lo denominó Stormbot 2. ^[68]

Véase también

• Alureón
• Bagle (gusano informático)
• Red de bots
• Conficante
• Correo electrónico no deseado
• Fin del juego ZeuS
• Gusano servicial
• Delito en Internet
• Seguridad en Internet
• McColo
• Operación: Bot Roast
• Red de bots Rustock
• Regin (malware)
• Red de bots Srizbi
• Zombie (informática)
• Red de bots ZeroAccess
• Zeus (malware)

Referencias

1. Lisa Vaas (24 de octubre de 2007). "Botnet de gusano Storm que lobotomiza programas antivirus". eWeek . Consultado el 4 de julio de 2015 .
2. Spiess, Kevin (7 de septiembre de 2007). "El gusano 'Storm' cobra fuerza". Neoseeker . Consultado el 10 de octubre de 2007 .
3. "La virulencia del gusano Storm puede cambiar las tácticas". British Computer Society. 2 de agosto de 2007. Archivado desde el original el 12 de octubre de 2007. Consultado el 10 de octubre de 2007 .
4. Dvorsky, George (24 de septiembre de 2007). "Storm Botnet storms the Net" (La botnet Storm asalta la red). Instituto de Ética y Tecnologías Emergentes . Consultado el 10 de octubre de 2007 .
5. Keizer, Gregg (9 de abril de 2008). "Top botnets control 1M pirateado computers". Computer World . Consultado el 24 de diciembre de 2012 .
6. Leyden, John (25 de septiembre de 2007). «Storm Worm toma represalias contra investigadores de seguridad». The Register . Consultado el 25 de octubre de 2007 .
7. Gaudin, Sharon (18 de septiembre de 2007). "La botnet Storm Worm ataca a empresas antispam". InformationWeek . Consultado el 10 de octubre de 2007 .
8. Fisher, Dennis (22 de octubre de 2007). "Los expertos predicen que el reinado del troyano Storm continuará". Search Security. Archivado desde el original el 17 de diciembre de 2007. Consultado el 26 de diciembre de 2007 .
9. Coca, Rick (18 de diciembre de 2007). "FBI: Las 'botnets' amenazan la seguridad en línea". Inside Bay Area . Consultado el 27 de diciembre de 2007 .
10. Brodkin, Jon (7 de septiembre de 2007). "El malware con motivaciones económicas prospera" . Consultado el 10 de octubre de 2007 .
11. Null, Christopher (22 de octubre de 2007). "El devastador gusano informático Storm espera su turno". Yahoo! News . Consultado el 26 de diciembre de 2007 .
12. Utter, David (13 de julio de 2007). "Storm Botnet Driving PDF Spam". Archivado desde el original el 23 de septiembre de 2007. Consultado el 10 de octubre de 2007 .
13. Cringely, Robert X. (17 de octubre de 2007). "La tormenta que se avecina". InfoWorld.
14. Holz, Thorsten (9 de abril de 2008). "Medidas y mitigación de botnets peer-to-peer: un estudio de caso sobre el gusano Storm". Usenix . Consultado el 23 de abril de 2008 .
15. Singel, Ryan (7 de diciembre de 2007). "Informe: el cibercrimen irrumpió en la red en 2007". Wired News . Consultado el 27 de diciembre de 2007 .
16. Larkin, Erik (3 de diciembre de 2007). "El enemigo público número uno de Internet". PC World. Archivado desde el original el 16 de marzo de 2009. Consultado el 21 de marzo de 2010 .
17. Gaudin, Sharon (6 de septiembre de 2007). "La botnet del gusano Storm es más poderosa que las supercomputadoras más importantes" . Consultado el 10 de octubre de 2007 .
18. Gaudin, Sharon (4 de septiembre de 2007). "Tras un breve descanso, Storm Worm vuelve a la carga con nuevos trucos". InformationWeek . Consultado el 10 de octubre de 2007 .
19. Fisher, Dennis (17 de diciembre de 2007). "Storm y Nugache lideran un nuevo y peligroso ataque de botnets". Search Security. Archivado desde el original el 24 de diciembre de 2007. Consultado el 27 de diciembre de 2007 .
20. Leyden, John (14 de septiembre de 2007). "El gusano Storm está vinculado a un aumento del spam". The Register . Consultado el 17 de octubre de 2007 .
21. Schneier, Bruce (4 de octubre de 2007). "El supergusano 'Storm' en ciernes plantea una grave amenaza para las redes informáticas". Wired News . Consultado el 17 de octubre de 2007 .
22. Gaudin, Sharon (3 de octubre de 2007). "Hackers desmantelan botnets para eludir la detección". InformationWeek . Consultado el 17 de octubre de 2007 .
23. Sorensen, Chris (15 de octubre de 2007). «Storm Worm, la «sífilis» de las computadoras». The Star . Consultado el 17 de octubre de 2007 .
24. Utter, David (16 de octubre de 2007). "Storm Botnets Using Encrypted Traffic". Security Pro News. Archivado desde el original el 10 de diciembre de 2007. Consultado el 17 de octubre de 2007 .
25. "Una tormenta DDoS ataca sitios anti-estafa". Virus Bulletin.com. 10 de septiembre de 2007. Consultado el 17 de octubre de 2007 .
26. Gaudin, Sharon (10 de septiembre de 2007). "El fin de semana inaugural de la NFL trae otro ataque de gusanos de tormenta". InformationWeek . Consultado el 17 de octubre de 2007 .
27. Hernandez, Pedro (4 de octubre de 2007). "Storm Worm reescribió el juego de las redes de bots y el spam". Enterprise IT Planet . Consultado el 17 de octubre de 2007 .
28. Stewart, Joe. "Ataque DDoS del gusano Storm". Secureworks.com . SecureWorks . Consultado el 9 de marzo de 2016 .
29. McCloskey, Paul (14 de septiembre de 2007). "Alerta de tormenta: Botnet se prepara para atacar a los defensores". InformationWeek . Consultado el 17 de octubre de 2007 .
30. Gaudin, Sharon (17 de septiembre de 2007). "La botnet Storm levanta defensas y comienza a atacar de vuelta". InformationWeek . Consultado el 6 de noviembre de 2024 .
31. "Storm Worm ofrece carbón para Navidad". Security Focus. 2007-12-26 . Consultado el 2007-12-27 .
32. Wilson, Tim (29 de octubre de 2007). "Los investigadores temen represalias por la tormenta". Dark Reading . Consultado el 6 de noviembre de 2024 .
33. Paul, Ryan (12 de septiembre de 2007). "Los spammers lanzan ataques de denegación de servicio contra sitios antispam". Ars Technica News . Consultado el 17 de octubre de 2007 .
34. Sophos Labs (22 de octubre de 2007). "Aplicación de parches a los procesos, al estilo Dorf". Seguridad al desnudo . Consultado el 4 de julio de 2015 .
35. Farrell, Nick (17 de septiembre de 2007). «Los republicanos infectan a los votantes con el troyano Storm». «The Inquirer». Archivado desde el original el 21 de enero de 2016. Consultado el 17 de octubre de 2007 .{{cite news}}: CS1 maint: URL no apta ( enlace )
36. Keizer, Gregg (14 de septiembre de 2007). "Un sitio web del Partido Republicano pirateado infecta a los visitantes con malware". Computerworld. Archivado desde el original el 15 de octubre de 2007. Consultado el 17 de octubre de 2007 .
37. Tung, Liam (10 de octubre de 2007). «El gusano Storm explota en YouTube». CNET News. Archivado desde el original el 22 de agosto de 2020. Consultado el 17 de octubre de 2007 .
38. Keizer, Gregg (12 de octubre de 2007). «El troyano Storm hace alarde de un gato loco para construir una botnet». ComputerWorld. Archivado desde el original el 13 de octubre de 2007. Consultado el 17 de octubre de 2007 .
39. Keizer, Gregg (16 de noviembre de 2007). "Storm Botnet propaga malware a través de GeoCities". PC World. Archivado desde el original el 21 de noviembre de 2007. Consultado el 27 de diciembre de 2007 .
40. McMillan, Robert (24 de diciembre de 2007). "Storm Worm tienta con un espectáculo de striptease navideño". PC World. Archivado desde el original el 27 de diciembre de 2007. Consultado el 27 de diciembre de 2007 .
41. Hruska, Joel (25 de diciembre de 2007). "Storm Worm entrega carbón esta Navidad". Ars Technica . Consultado el 27 de diciembre de 2007 .
42. Keizer, Gregg (26 de diciembre de 2007). "Storm Botnet lanza un señuelo para strippers y se traslada a Año Nuevo". PC World . Consultado el 27 de diciembre de 2007 .
43. Rogers, Jack (8 de enero de 2008). "Fortinet: la botnet Storm Worm se utilizó para realizar ataques de phishing a los bancos Barclays y Halifax". SC Magazine. Archivado desde el original el 11 de enero de 2008. Consultado el 9 de enero de 2008 .
44. Stewart, Joe (15 de octubre de 2007). "The Changing Storm". Secure Works . Consultado el 17 de octubre de 2007 .
45. Francia, Ruben (16 de octubre de 2007). "Investigador: la botnet Storm Worm está a la venta". Tech.Blorge. Archivado desde el original el 16 de octubre de 2007. Consultado el 17 de octubre de 2007 .
46. Espiner, Tom (16 de octubre de 2007). "Experto en seguridad: los 'servicios' de la botnet Storm podrían venderse". Noticias de CNet. Archivado desde el original el 17 de mayo de 2008. Consultado el 17 de octubre de 2007 .
47. Vaas, Lisa (16 de octubre de 2007). "Storm Botnet Kits Loom on the Horizon" (Los kits de botnet Storm se vislumbran en el horizonte). EWeek. Archivado desde el original el 22 de agosto de 2020. Consultado el 17 de octubre de 2007 .
48. Goodin, Dan (15 de octubre de 2007). "La balcanización de las redes de bots Storm Worm". The Register . Consultado el 17 de octubre de 2007 .
49. Keizer, Gregg (18 de octubre de 2007). "Los spammers aumentan el volumen con un importante ataque verbal contra una estafa". Computerworld. Archivado desde el original el 2 de marzo de 2007. Consultado el 19 de octubre de 2007 .
50. Prince, Brian (18 de octubre de 2007). "Estafa de spam de MP3 llega a las bandejas de entrada". EWeek. Archivado desde el original el 22 de agosto de 2020. Consultado el 19 de octubre de 2007 .
51. Vamosi, Robert (9 de enero de 2008). "Los phishers ahora están alquilando la red de bots del gusano Storm". CNET News. Archivado desde el original el 22 de noviembre de 2008. Consultado el 11 de mayo de 2008 .
52. Beskerming, Sûnnet (25 de septiembre de 2007). "Adivinando el número de host comprometido". The Register . Consultado el 17 de octubre de 2007 .
53. Naraine, Ryan (24 de septiembre de 2007). "Números de botnets de Storm Worm, a través de Microsoft". ZDNet. Archivado desde el original el 24 de octubre de 2007. Consultado el 17 de octubre de 2007 .
54. Krebs, Brian (1 de octubre de 2007). "¿Qué tan malo es el gusano de tormenta?". The Washington Post . Consultado el 17 de octubre de 2007 .
55. Chapman, Matt (22 de octubre de 2007). "Storm Worm puede haberse extinguido". VNUnet. Archivado desde el original el 25 de diciembre de 2007. Consultado el 26 de diciembre de 2007 .
56. Francia, Ruben (2007-10-21). "La red de Storm Worm se reduce a aproximadamente una décima parte de su tamaño anterior". Tech.Blorge. Archivado desde el original el 2013-08-26 . Consultado el 2007-12-26 .
57. McMillan, Robert (21 de octubre de 2007). "Storm Worm ahora es solo una borrasca". PC World. Archivado desde el original el 3 de enero de 2008. Consultado el 26 de diciembre de 2007 .
58. Vassou, Andrea-Marie (29 de noviembre de 2007). «La guerra cibernética se intensificará en 2008». Computer Active. Archivado desde el original el 2 de enero de 2008. Consultado el 27 de diciembre de 2007 .
59. Messmer, Ellen (11 de diciembre de 2007). "Atacantes dispuestos a explotar los Juegos Olímpicos y las elecciones presidenciales de 2008". Network World. Archivado desde el original el 27 de diciembre de 2007. Consultado el 27 de diciembre de 2007 .
60. "Se revela una nueva botnet tan poderosa como el gusano Storm". Secure Computing. 2007-11-29 . Consultado el 2007-12-27 .^{[ enlace muerto permanente ]}
61. Rogers, Jack (26 de diciembre de 2007). "Cisco informa que la botnet Storm podría ser subarrendada a criminales en 2008, ya que proliferan los ataques con temática navideña". Revista SC. Archivado desde el original el 28 de diciembre de 2007. Consultado el 27 de diciembre de 2007 .
62. Dunn, John E. (7 de enero de 2008). "Nugache: ¿la próxima tormenta?". Tech World. Archivado desde el original el 8 de enero de 2008. Consultado el 7 de enero de 2008 .
63. Utter, David (4 de enero de 2008). "La botnet Storm triplica su tamaño". Security Pro News. Archivado desde el original el 23 de enero de 2008. Consultado el 7 de enero de 2008 .
64. "Una quinta parte de todo el spam proviene de la botnet Storm" (PDF) . MessageLabs Intelligence: Q1 / March 2009. MessageLabs. 2008-04-01. Archivado desde el original (PDF) el 2008-05-17.
65. Felix Leder (28 de abril de 2010). "Una brisa de tormenta". Blog del proyecto Honeynet . Consultado el 24 de mayo de 2010 .
66. Divulgación completa: Stormfucker
67. Georg 'oxff' Wicherski, Tillmann Werner, Felix Leder, Mark Schlösser (2008). Stormfucker: Owning the Storm Botnet (charla de conferencia). Chaos Computer Club eV Archivado desde el original el 6 de octubre de 2009 . Consultado el 24 de mayo de 2010 .
68. Dirro, Toralv (28 de abril de 2010). "Dark and Stormy–Comeback of a Botnet?" (Oscuro y tormentoso: ¿el regreso de una botnet?"). Blog de investigación de McAfee . Consultado el 1 de mayo de 2010 .

Enlaces externos

• Un vídeo publicado por Secure Labs, que muestra la propagación de la botnet en YouTube
• "El gusano Storm: ¿puede estar seguro de que su equipo no está infectado?" La página de destino ya no se encuentra en este sitio web.
• "TrustedSource Storm Tracker": principales dominios de Storm y últimos servidores proxy web Archivado el 2 de marzo de 2021 en Wayback Machine . La página de destino ya no se encuentra en este sitio web.

Escuche este artículo ( 27 minutos )

Este archivo de audio se creó a partir de una revisión de este artículo con fecha del 19 de mayo de 2008 y no refleja ediciones posteriores. ( 19-05-2008 )

( Ayuda de audio  · Más artículos hablados )