7 de diciembre de 2016

MuyComputerPRO

Infección por redes zombies

Infección por redes zombies

Infección por redes zombies
septiembre 28
15:44 2009

Los cibercriminales controlan más de 100 millones de equipos en todo el mundo gracias a las redes zombie, lo que supone más potencia informática que todos los superordenadores juntos. De ahí que más del 90% de los emails del mundo sea spam actualmente. Según un estudio de Trend Micro, la infección de un PC zombie puede durar más de dos años.

 

 

 

 

En un primer momento, los expertos de la industria estimaron que el tiempo medio que un equipo informático permanecía infectado era de 6 semanas. Sin embargo, un reciente informe de Trend Micro pone de manifiesto que esta estimación está lejos de ser exacta.

Así, durante el análisis de más de 100 millones de direcciones IP comprometidas, la compañía ha identificado que el pico de IPs infectadas -direcciones que pertenecen a botnets o redes zombie- (o que son infectadas repetidamente) permanecen en este estado durante más de 2 años, aunque la media de infección es de 300 días en los principales países.

El término botnet o red zombie se utiliza para designar a los ordenadores que forman parte de una red robot tras haber sido infectados por algún tipo de malware. Estos equipos pueden ser controlados por terceras personas con fines ilícitos (distribuir spam, robo de identidad, robo de información confidencial, …) sin que el usuario sea consciente de ello.

Según las estadísticas de Trend Micro, el 80% de todos los equipos comprometidos han estado infectados durante más de un mes.

 

 

 

Lamentablemente, las noticias no consiguen mejorar. Pues mientras que el 75% de las direcciones IP comprometidas analizadas en el estudio han sido identificadas con usuarios particulares, el 25% restante pertenece a dominios de empresas. Debido a que una dirección IP para estos usuarios está generalmente identificada con un único gateway puede que, a su vez, esté conectada a varias máquinas en una red interna, lo que hace que el porcentaje actual de equipos empresariales afectados pueda ser más alto que las direcciones IP sugeridas en los datos –es decir, el porcentaje de PCs infectados en empresas es probablemente mucho más alto que ese 25%.

Una vez que el equipo pasa a estar comprometido, no es raro encontrar que se ha convertido en parte de una botnet más amplia. Las redes zombie con frecuencia causan daño en la forma de los ataques de malware, fraude, robo de información y otros crímenes. En lo que va de 2009, casi todo el malware rastreado por los expertos de Trend Micro está siendo utilizado por los ciberciminales para robar información (credenciales, etc.) principalmente.

Hasta ahora, las tres redes zombie que son más peligrosas en relación con el robo de identidad, información financiera y de cualquier otro tipo son:

– Koobface.

– ZeuS/Zbot.

– Ilomo/Clampi.
 

 

 

 

100 millones de PCs en el mundo controlados por un grupo reducido de ciberdelincuentes
 

En general, las botnets controlan más PCs comprometidos de lo que se pensaba hasta ahora. Sólo un "puñado" de delincuentes, probablemente unos cientos, tienen el control de más de 100 millones de equipos. Esto supone que los cibercriminales tienen mayor potencia de procesamiento a su disposición que todos los superordenadores del mundo combinados. De ahí que no resulte asombroso que más del 90% de todos los correos electrónicos del mundo sea spam en la actualidad.

A día de hoy, no hay una correlación exacta de 1 a 1 entre los 10 países con más equipos infectados y los 10 principales países emisores de spam, sin embargo, sí es cierto que existen ciertas similitudes.

Utilizando Koobface como ejemplo de una red zombi típica, los expertos en amenazas de Trend Micro han establecido que 51.000 equipos comprometidos actualmente forman parte de esta botnet particular. En cualquier momento, Koobface utiliza 5 o 6 comandos y centros de control (C&C) para controlar estos PCs infectados. Si un dominio C&C es dado de baja por un proveedor particular, los controladores de Koobface simplemente vuelven a registrar el mismo dominio C&C con otros proveedores. Entre mediados de marzo de 2009 y mediados del mes de agosto, Trend Micro registró unos 46 dominios C&C de Koobface.

En comparación, mientras se estudiaba la botnet Ilomo, se identificaron 69 dominios C&C. Sin embargo, este número es difícil de confirmar cuando se añaden nuevos dominios mientras otros son eliminados a diario. Además, el número de equipos infectados dentro de la red zombie Ilomo no puede ser averiguado debido a la propia estructura de la botnet.

 

About Author

Sara de Artaza

Sara de Artaza

Articulos relacionados

Suscríbete gratis a MCPRO

La mejor información sobre tecnología para profesionales IT en su correo electrónico cada semana. Recibe gratis nuestra newsletter con actualidad, especiales, la opinión de los mejores expertos y mucho más.

¡Suscripción completada con éxito!