Red de bots Rustock

Tipo de botnet

La botnet Rustock fue una botnet que operó desde aproximadamente 2006 ^[1] hasta marzo de 2011.

Consistía en computadoras que ejecutaban Microsoft Windows, y era capaz de enviar hasta 25.000 mensajes de spam por hora desde una PC infectada. ^{[2] [3]} En el apogeo de sus actividades, enviaba un promedio de 192 mensajes de spam por máquina comprometida por minuto. ^[4] Las estimaciones reportadas sobre su tamaño varían mucho entre diferentes fuentes, con afirmaciones de que la botnet puede haber comprendido entre 150.000 y 2.400.000 máquinas. ^{[5] [6] [7]} El tamaño de la botnet se incrementó y se mantuvo principalmente a través de la autopropagación, donde la botnet enviaba muchos correos electrónicos maliciosos destinados a infectar máquinas abriéndolos con un troyano que incorporaría la máquina a la botnet. ^[8]

La botnet sufrió un duro golpe tras el derribo en 2008 de McColo , un ISP que era responsable de alojar la mayoría de los servidores de comando y control de la botnet. McColo recuperó la conectividad a Internet durante varias horas, y en esas horas se observó un tráfico de hasta 15 Mbit por segundo, lo que probablemente indica una transferencia de comando y control a Rusia . ^[9] Si bien estas acciones redujeron temporalmente los niveles globales de spam en alrededor del 75%, el efecto no duró mucho: los niveles de spam aumentaron en un 60% entre enero y junio de 2009, el 40% del cual se atribuyó a la botnet Rustock. ^{[10] [11]}

El 16 de marzo de 2011, la botnet fue desmantelada a través de lo que inicialmente se informó como un esfuerzo coordinado por parte de proveedores de servicios de Internet y vendedores de software. ^[12] Al día siguiente se reveló que la desmantelación, llamada Operación b107, ^{[13] [14]} fue una acción de Microsoft , agentes de la ley federal de EE. UU., FireEye y la Universidad de Washington . ^{[15] [16]}

Para capturar a los individuos involucrados en la botnet Rustock, el 18 de julio de 2011, Microsoft ofrece "una recompensa monetaria de 250.000 dólares estadounidenses por nueva información que resulte en la identificación, arresto y condena penal de dichos individuos". ^[17]

Operaciones

Las botnets están compuestas por computadoras infectadas utilizadas por usuarios de Internet involuntarios. Para ocultar su presencia al usuario y al software antivirus , la botnet Rustock empleó tecnología rootkit . Una vez que una computadora estaba infectada, buscaba contacto con servidores de comando y control en una serie de direcciones IP y cualquiera de los 2.500 dominios y dominios de respaldo ^[18] que pueden dirigir a los zombis en la botnet para realizar varias tareas, como enviar spam o ejecutar ataques distribuidos de denegación de servicio (DDoS). ^[19] Noventa y seis servidores estaban en funcionamiento en el momento del desmantelamiento. ^[20] Al enviar spam, la botnet utiliza el cifrado TLS en alrededor del 35 por ciento de los casos como una capa adicional de protección para ocultar su presencia. Ya sea detectado o no, esto crea una sobrecarga adicional para los servidores de correo que manejan el spam. Algunos expertos señalaron que esta carga adicional podría afectar negativamente a la infraestructura de correo de Internet, ya que la mayoría de los correos electrónicos enviados en estos días ^{[ ¿cuándo? ]} son ​​spam. ^[21]

Véase también

• Red de bots
• Gusano servicial
• McColo
• Operación: Bot Roast
• Red de bots Srizbi
• Zombie (informática)
• Alureón
• Conficante
• Fin del juego ZeuS
• Red de bots Storm
• Bagle (gusano informático)
• Red de bots ZeroAccess
• Regin (malware)
• La ciberguerra de Rusia
• Zeus (malware)

Referencias

1. Chuck Miller (25 de julio de 2008). "La botnet Rustock vuelve a enviar spam". SC Magazine US. Archivado desde el original el 30 de julio de 2012. Consultado el 21 de abril de 2010 .
2. "Las ventas de Viagra real impulsan la inundación de spam global - Techworld.com". News.techworld.com. Archivado desde el original el 7 de abril de 2012. Consultado el 21 de abril de 2010 .
3. "Marshal8e6 publica nuevos datos y análisis sobre botnets". trustwave.com . Chicago, IL, EE. UU.: Trustwave Holdings . 22 de abril de 2009. Archivado desde el original el 20 de abril de 2016 . Consultado el 9 de enero de 2014 .
4. "Symantec Announces August 2010 MessageLabs Intelligence Report". Symantec . Sunnyvale, CA, EE. UU.: Symantec . 24 de agosto de 2010. Archivado desde el original el 28 de agosto de 2010 . Consultado el 9 de enero de 2014 .
5. "Inteligencia de MessageLabs" (PDF) . MessageLabs. Abril de 2010. Consultado el 20 de noviembre de 2010 .
6. "¿El mayor spammer? La botnet Rustock |". Securityinfowatch.com. 2009-02-06. Archivado desde el original el 2020-06-18 . Consultado el 2010-04-21 .
7. "La botnet Rustock es responsable del 40 por ciento del spam". Good Gear Guide . Consultado el 25 de agosto de 2010 .
8. "Nueva botnet Rustock que intenta expandirse". SPAMfighter. 25 de julio de 2008. Consultado el 21 de abril de 2010 .
9. "Un proveedor de red muerto arma a la botnet Rustock desde el más allá - McColo llama a Rusia mientras el mundo duerme". The Register. 18 de noviembre de 2008. Consultado el 20 de noviembre de 2010 .
10. "La botnet Rustock lidera el aumento del spam en un 60 por ciento en 2009". MX Logic. 14 de julio de 2009. Consultado el 21 de abril de 2010 .
11. "Las botnets Grum y Rustock llevan el spam a nuevos niveles > Botnet > Vulnerabilidades y exploits > Noticias > SC Magazine Australia/NZ". securecomputing.net.au. 2010-03-02 . Consultado el 2010-04-21 .
12. Hickins, Michael (17 de marzo de 2011). "Se desconecta una red de spam prolífica". Wall Street Journal . Consultado el 17 de marzo de 2011 .
13. Williams, Jeff. "Operación b107: eliminación de la botnet Rustock" . Consultado el 27 de marzo de 2011 .
14. Bright, Peter (22 de marzo de 2011). "Cómo la Operación b107 decapitó a la botnet Rustock". Ars Technica . Consultado el 27 de marzo de 2011 .
15. Wingfield, Nick (18 de marzo de 2011). "Cierre de la red de spam". Wall Street Journal . Consultado el 18 de marzo de 2011 .
16. Williams, Jeff. "Operación b107: eliminación de la botnet Rustock" . Consultado el 6 de abril de 2011 .
17. "Microsoft ofrece recompensa por información sobre Rustock" . Consultado el 18 de julio de 2011 .
18. Solicitud modificada de Microsoft para una orden de restricción temporal. Caso 11CV00222, Tribunal Federal de los Estados Unidos, WD Wash., 28 de febrero de 2011
19. Prince, Brian (28 de julio de 2009). "Seguridad: un día en la vida de la botnet Rustock". EWeek . Consultado el 20 de noviembre de 2010 .
20. "Se busca a spammers tras desmantelar botnet". BBC News . 25 de marzo de 2011.
21. "Cuidado con el regreso de Botnet, advierten las empresas de seguridad". PCWorld. 28 de marzo de 2010. Consultado el 21 de abril de 2010 .